| View previous topic :: View next topic |
| Author |
Message |
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
 Posted: Wed Feb 27, 2008 5:58 pm Post subject: problema doppio nat |
 |
|
Sono alle prese con le solite porcherie dell'agenzia delle entrate, ovvero il malefico software F24 per intermediari (inutile che lo cercate è solo sul sito dedicato) ed è diverso.
Dovrebbe connettersi ad ftp://ftpqualcosa.agenziadannata.it e scaricare gli aggiornamenti. A parte il fatto che se non riesce a scaricarli tutti non averte e si blocca ma si aggiorna a metà sono costretto ad impostare come gateway direttamente il router, se passo per il server linux non riesce a scaricare un piffero (ovviamente persino quell'obbrobbrio .net dell'inps funziona ma F24online non ne vuol sapere). Mi pare di aver capito che passando per due nat differenti si blocca, ho lo stesso problema in una azienda dove sono consulente e non posso certo dirgli di togliere firewall e proxy con quello che c'è voluto per farli mettere e con quello che costano.
Qualcuno mi sa spiegare il motivo ed eventualmente suggerire una soluzione?
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
 |
GabrieleB
Guru
Joined: 22 Jul 2003
Posts: 317
|
| Posted: Wed Feb 27, 2008 6:12 pm Post subject: |
|
|
Se il problema e' che ci si connette ma non va nemmeno un ls, e' sicuramente un problema di modalita' ftp attivo/passivo.
Metodo "o la va o la spacca": prova a giocare con ftp passivo/attivo sul client, cioe' se e' attivo settalo in passivo, se e' in passivo, settalo in attivo.
Metodo "ragioniamoci un po' su": connettiti da ip pubblico senza nulla di mezzo e vedi un po' il server se accetta attivo o passivo, dopodiche' modifica il proxy linux che sta in mezzo (se ne hai la gestione) e il client in accordo con la modalita' scoperta precedentemente.
_________________
Keyboard error. Press F1 to continue. |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Feb 27, 2008 6:45 pm Post subject: |
|
|
| GabrieleB wrote: | | prova a giocare con ftp passivo/attivo sul client, cioe' se e' attivo settalo in passivo, se e' in passivo, settalo in attivo |
poichè il programma non lo ho fatto io non ho idea di cosa combini ed quale indirizzo esatto si connetta (ftp.agenziaentrate.it accetta sia ftp passivo che attivo).
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Wed Feb 27, 2008 7:31 pm Post subject: |
|
|
se il programma riesce ad arrivare al ftp dell'agenzia, non basta una regola che vedendo come source tale ftp reindirizzi pari pari sulla macchina interna? Magari attivata a tempo al momento della connessione in uscita dal tuo client interno
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Feb 27, 2008 8:37 pm Post subject: |
|
|
ricominciamo da capo: il programma è F24online per intermediari disponibile solo sul sito entratel ed ovviamente deve girare solo su windows, ho riportato negli ultra OT il perchè. Il runtime è il solito java 1.3.1 update 13
Il messaggio è solo "connessione ad ftp.agenziaentrate.it" e poi o segue "nessun aggiornamento da effettuare" o l'elenco dei file scaricati, non so neppure se si connette via ftp o meno e soprattutto a quale indirizzo preciso, lo so che posso scovarlo ma tanto ad ogni aggiornamento potrebbe cambiare e so che ci sono più server ftp.
Se il gateway è impostato sul router tutto funziona, se invece il gateway è il server linux "nessun aggiornamento" e tanti saluti, il problema è solo con questo dannato programma.
Il server ha due schede di rete in bonding ed una scheda (eth2) per andare sun internet, tutte connesse allo stesso hub insieme al router. A parte il forward | Code: | -d eth2 -j accept
-d bond0 -j accept
-d bond0 -j drop |
le uniche regole che ho lasciato su iptables sono i drop per l'arp statico | Code: | | -m mac -s IP ! -mac-source MAC -j DROP e viceversa |
ed ovviamente il reject sul localhost.
Ho sbagliato qualcosa? Posso tentare qualcosa senza rischiare che mi mandano la polizia postale in ufficio per tentato sabotaggio? Ci sono soluzioni (di norma dovrei avere almeno squid attivo, altrimenti il server non è che sia utile e far passare tutto per la ciofeca di router che ho riduce di molto le prestazioni.
Stesso problema presso il cliente ma li non so la rete come è stata realizzata.
Chiedere alla sogei se non sei un produttore di software con almeno 1000 utenze è impossibile... gestire il cambio del gateway con windows 98 richiede il riavvio...
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Wed Feb 27, 2008 9:44 pm Post subject: |
|
|
| djinnZ wrote: | ricominciamo da capo: il programma è F24online per intermediari disponibile solo sul sito entratel ed ovviamente deve girare solo su windows, ho riportato negli ultra OT il perchè. Il runtime è il solito java 1.3.1 update 13
Il messaggio è solo "connessione ad ftp.agenziaentrate.it" e poi o segue "nessun aggiornamento da effettuare" o l'elenco dei file scaricati, non so neppure se si connette via ftp o meno e soprattutto a quale indirizzo preciso, lo so che posso scovarlo ma tanto ad ogni aggiornamento potrebbe cambiare e so che ci sono più server ftp.
Se il gateway è impostato sul router tutto funziona, se invece il gateway è il server linux "nessun aggiornamento" e tanti saluti, il problema è solo con questo dannato programma.
Il server ha due schede di rete in bonding ed una scheda (eth2) per andare sun internet, tutte connesse allo stesso hub insieme al router. A parte il forward | Code: | -d eth2 -j accept
-d bond0 -j accept
-d bond0 -j drop |
le uniche regole che ho lasciato su iptables sono i drop per l'arp statico | Code: | | -m mac -s IP ! -mac-source MAC -j DROP e viceversa |
ed ovviamente il reject sul localhost.
Ho sbagliato qualcosa? Posso tentare qualcosa senza rischiare che mi mandano la polizia postale in ufficio per tentato sabotaggio? Ci sono soluzioni (di norma dovrei avere almeno squid attivo, altrimenti il server non è che sia utile e far passare tutto per la ciofeca di router che ho riduce di molto le prestazioni.
Stesso problema presso il cliente ma li non so la rete come è stata realizzata.
Chiedere alla sogei se non sei un produttore di software con almeno 1000 utenze è impossibile... gestire il cambio del gateway con windows 98 richiede il riavvio... |
credo che devresti mettere il connection tracking dell'ftp (nf_conntrack_ftp) per gestire l'apertura della porta binaria dell'ftp.
ciao
luigi
_________________
RTFM!!!!
e
http://www.comio.it
 |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Feb 27, 2008 10:03 pm Post subject: |
|
|
Appena posso pasticciare con il kernel faccio la prova. Dovrebbe andare visto che è fatto apposta per quello. Mi ero dimenticato che esistesse.
Suggerimenti sulle cause di un simile comportamento? Dal cliente devo documentarlo e non so come tradurre in gergo tecnico windozziano la cosa.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Wed Feb 27, 2008 10:56 pm Post subject: |
|
|
| djinnZ wrote: | Appena posso pasticciare con il kernel faccio la prova. Dovrebbe andare visto che è fatto apposta per quello. Mi ero dimenticato che esistesse.
Suggerimenti sulle cause di un simile comportamento? Dal cliente devo documentarlo e non so come tradurre in gergo tecnico windozziano la cosa. |
programma scritto con il culo può essere una motivazione valida?
penso che sia la modalità di download attiva che non passa il nat.
luigi
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Thu Feb 28, 2008 4:10 pm Post subject: |
|
|
| comio wrote: | | programma scritto con il culo può essere una motivazione valida? |
a parte che è è ovvio parlando di sogei, da tizi che fanno cose del genere che ci si può aspettare?
Non vale come spiegazione da sottoporre per iscritto alla direzione generale di un ente, purtroppo, anche se la tentazione è possente. 
Alla fine ne abbiamo discusso ed hanno optato per attivare una connessione ADSL dedicata per consentire l'invio delle dichiarazioni telematiche.
mava********
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
