Dubbio Krdc, telnet e NAT

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

Mi chiedevo: nella mia LAN, ho un paio di client Linux e uno Windows. Dovendo amministrare dall'esterno della LAN (che è NATtata) i clients, come posso specificare ai vari Krdc, telnet, ssh, etc, l'indirizzo del singolo client, conoscendo dall'inizio l'IP pubblico?
Ho cercato sia sul forum che su google, ma non ho trovato nulla che rispondesse al quesito (e, soprattuto per google, credo di non aver inserito delle keywords idonee).

Grazie delle info

_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva.

gutter · Posted: Tue Aug 22, 2006 11:03 am Post subject:

Prova a cerca PAT (Port Address Translation).

Devi usare iptables.
_________________
Registered as User #281564 and Machines #163761

comio · Advocate Joined: 03 Jul 2003 Posts: 2191 Location: Taranto

gutter · Posted: Tue Aug 22, 2006 12:20 pm Post subject: Re: Dubbio Krdc, telnet e NAT

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

Hmmm, iptables sarebbe utilizzabile se il router fosse una linux-box. Ma non mi sono spiegato bene (in effetti)

. Il mio problema sta nel fatto che sono dietro un router d-link con i clients

(questo è il pezzo che non avevo specificato all'inizio).
In effetti il mio quesito sarebbe meglio posto in questi termini: esiste un modo per specificare dall'esterno della LAN a quale workstation delle tre connettermi?

Grazie, e scusate l'imprecisione

_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva.

fikiz · Apprentice Joined: 07 Mar 2005 Posts: 282 Location: Italy

dovresti configurare il router per dirottare differenti porte dell'ip pubblico (che immagino essere uno solo) sugli indirizzi/porte privati delle macchine della tua lan.

esempio:
1.2.3.4 e' l'ip esterno, 192.168.1.1 e 192.168.1.2 sono le macchine interne.

devi dire al router di fare NAT da 1.2.3.4:1000 a 192.168.1.1:22 e da 1.2.3.4:1001 a 192.168.1.2:22.
in questo modo se dall'esterno di colleghi a 1.2.3.4:1000 arrivi alla porta ssh della macchina
192.168.1.1, mentre se ti colleghi a 1.2.3.4:1001 arrivi alla porta ssh della macchina 192.168.1.2.
(i numeri di porta 1000 e 1001 li ho chiaramente scelti io liberamente).

il mio router chiama questa funzione 'nat inbound', ma e' facile che abbia altri nomi su router differenti. e' comunque una forma di NAT dall'esterno verso l'interno.

spero di essere stato chiaro.
ciao!

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

Sì, sei stato chiaro, ma il NAT sul router è già impostato

Quello che io vorrei sapere è se esiste un modo per indicare a telnet o ssh o chi per essi, dall'esterno della rete (quindi senza lavorare sul prerouting e postrouting del router), a quale workstation connettersi.
Faccio un esempio: se voglio connettermi con SSH sulla porta 54879 dell'host 134.45.67.90, do "ssh 134.45.67.90:54879". Se però questo host è dietro NAT (con quell'IP pubblico, ma, ovviamente, in LAN ha un IP privato), esiste un modo per dire a SSH di fare una cosa del tipo: "ssh 134.45.67.90:192.168.1.34:54879"? Ovviamente con tutte le possibili combinazioni, quindi sostituendo a ssh qualsiasi altro programma di connessione remota e a "134.45.67.90:192.168.1.34:54879" qualsiasi formato sia da usare.

grazie delle risposte

_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva.

comio · Advocate Joined: 03 Jul 2003 Posts: 2191 Location: Taranto

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

Kernel78 · Moderator Joined: 24 Jun 2005 Posts: 3654

Quando si parla di tunnel strani salto fuori io con le mie idee :wink:

L'idea non è proprio il massimo della semplicità e molto dipende dalla postazione da cui ti colleghi, se è sempre la stessa (magari il tuo portatile) potresti metterci sopra un server openvpn e sui pc della tua rete interna installi il client openvpn.
In questo modo puoi impostare il trigger che preferisci per far partire la connessione tra i client e il serve della vpn in questo modo non dovresti stare a girare nessuna porta e avresti i client a disposizione sulla vpn :wink:

_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

In effetti l'idea di un trigger per far partire i client vnc solletica

... A parte la lack of security che questo comporta...!
Magari quando ho 10 minuti da buttare, ci provo :lol:

_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva.

Kernel78 · Moderator Joined: 24 Jun 2005 Posts: 3654

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium

In effetti quando ho scritto quella frase, mi sono immaginato un trigger semplice, facilmente azionabile da rete, per cui ho pensato a qualcosa da non perderci troppo tempo dietro, visto che la mia amministrazione in remoto di questi sistemi e' piuttosto saltuaria. Ma in effetti non è una mancanza di sicurezza intrinseca.

_________________
Deus Ex
--
L’inflazione che caccia nelle mani dell’individuo, in un gesto solo, miliardi di marchi, lasciandolo più miserabile di prima, dimostra punto per punto che il denaro è un’allucinazione collettiva.

Kernel78 · Moderator Joined: 24 Jun 2005 Posts: 3654

Il fatto è che per quanto possa essere semplice il trigger (es. una mail con un certo subject) non rappresenta un problema di sicurezza in quanto i client cercherebbero di collegarsi al server vpn definito nella loro configurazione e che abbia le giuste credenziali quindi solo la tua macchina può fungere da server, al massimo dei "malintenzionati" potrebbero far collegare i tuoi client al tuo server ma nulla di più.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con

.:deadhead:. · Posted: Wed Aug 23, 2006 9:53 am Post subject:

affascinante l'opzione vpn, ma non è un po' complicata, in termini di sbattimento per risultato da raggiungere? assegni ad ogni PC della LAN una regola sul router e sei a posto, magari usi pure come porta di connessione l'ultimo valore dell'IP [se la macchina ha ip 192.168.0.1 userai la porta 2001 , 0.2 la porta 2002] semplice ed efficace

Ti raccomando di usare ssh, sempre, sia per accesso via shell sia come tunnel per altri protocolli. Quello sì che è una buona abitudine
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy !

Kernel78 · Moderator Joined: 24 Jun 2005 Posts: 3654

Diciamo che con la vpn tu puoi usare tutti gli strumenti che vuoi mentre se metti mano al router devi impostare una regola per ogni servizio di ogni macchina a cui vuoi accedere. La cosa è fattibile se sono 3 macchine solo con ssh ma se hai una decina di macchine con ssh, http, ftp e chi più ne ha più ne metta dovresti impostare un numero di regole = N. Macchine * N. Servizi e ricordarti quale porta del router equivale a quale servizio di quale macchina quindi una scalabilità praticamente nulla.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con

Deus Ex · Guru Joined: 16 Nov 2005 Posts: 489 Location: Patavium