The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Протокол IP 250"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Другая система)
Изначальное сообщение [ Отслеживать ]

"Протокол IP 250"  +/
Сообщение от vladisllav (ok) on 07-Июн-07, 11:42 
Необходимо создать  правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях.Каким образом в Linux это сделать?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Протокол IP 250"  +/
Сообщение от Slimm (??) on 07-Июн-07, 14:19 
>Необходимо создать  правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих
>направлениях.Каким образом в Linux это сделать?

о! соратник по проблеме :) сталкивались с этим безобразием
на самом деле проблема с головой у реализаторов проекта (не будем называть имен :) просто до абсурда не компетентные люди

если у тебя ходит IP трафик через шлюз, то и IP 250 пройдет ибо 250 означает более верхний не стандартизированный протокол (например TCP имеет номер 6)
если же у тебя NAT, то можно так
iptables -A PREROUTING -s <IP-Server> -p 250 -j DNAT --to 192.168.10.10

IP-Server реалник их сервера к которому ты будешь подключаться
192.168.10.10 твой внутренний адрес

используй снифер для анализа и прогу portcheck.exe для эмуляции клиента и сервера
если все заработает, то пинай горе разработчиков этого велосипеда

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Протокол IP 250"  +/
Сообщение от chocholl email(??) on 08-Июн-07, 08:40 
просто интересно, что за протокол 250
и что это за проект :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Протокол IP 250"  +/
Сообщение от Slimm (??) on 09-Июн-07, 16:50 
точно не знаю секьюрный клиент какой-то гос. структуры
расписан наверно в каком нибудь ТЗ какого нибудь НИИ
у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация они просто не знают, у нас как и обычно свой путь!


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Протокол IP 250"  +/
Сообщение от vladisllav (??) on 14-Июн-07, 11:20 
>точно не знаю секьюрный клиент какой-то гос. структуры
>расписан наверно в каком нибудь ТЗ какого нибудь НИИ
>у меня просто слов не хватает выразить свое негодование, очередной "велосипед" узколобых
>программистов абсолютно оторванных от реальности, помоему что есть NAT и маршрутизация
>они просто не знают, у нас как и обычно свой путь!
>

Спасибо за помощь, да действительно госструктура.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Протокол IP 250"  +/
Сообщение от Fant email(??) on 20-Июн-07, 14:43 
>Спасибо за помощь, да действительно госструктура.

Наверно это Казначейство.
У нас тоже похожая проблема:
Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что "Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для следующих соединений в обоих направлениях по следующим портам: TCP-соединение   Порты TCP/4439, 4440, 4443
UDP-соединение   Порты UDP/4440"
Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось, файрвол для теста вообще отключаю? Что имеется в виду?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Протокол IP 250"  +/
Сообщение от Slimm (??) on 21-Июн-07, 20:45 
>>Спасибо за помощь, да действительно госструктура.
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение  
>Порты TCP/4439, 4440, 4443
>UDP-соединение   Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?

если мы взглянем на структуру IP пакета http://ru.wikipedia.org/wiki/IP
то увидим там такое поле Протокол, оно содержит номер протокола верхнего уровня
так вот наши "велосипедисты" пишут туда число 250
другая часть населения Земли пишет туда другие числа такие как 6, 17 и т.д.
и придумала понятные названия для этих чисел TCP, UDP и другие
"велосипедисты" еще не придумали названия

к чему бы это все? если IP протокол ходит то и 6, 17, 250 и др. тоже ходят, им не нужно ни чего открывать!

но! есть такое понятие NAT, когда Вы конектитесь в Интернет с адресом шлюза, но если хотят приконектится к Вам то шлюз без спец. правил не осуществит соединение
Необходимо на шлюзе активировать проброс портов во внутренюю сеть, но нельзя же все пробросить (это не безопасно) вот тут то и можно воспользоваться божественным числом 250, типа для фильтрации

Не знаю что Вы используете для NAT в W2k, например в Kerio есть такое понятие "проброс портов", в стандартном Виндусячем NAT наверно этого нету
с указанными Вами UDP портами тоже надо сделать такую же вещь

и хочу еще вот что добавить, если Вы только начинаете все настраивать то конектиться на указанный сервер Казначейства бесполезно, они Вас еще не прописали ...
так что тестируйтесь на их утилите, или на сервере "велосипедистов" адрес есть в документации

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Протокол IP 250"  +/
Сообщение от stolmik on 18-Сен-07, 14:45 
>[оверквотинг удален]
>
>Наверно это Казначейство.
>У нас тоже похожая проблема:
>Для того, чтоб содиниться с ними по SHDSL, они сказали туманно что
>"Необходимо разрешить протокол IP 250" и "Необходимо разрешить прохождение пакетов для
>следующих соединений в обоих направлениях по следующим портам: TCP-соединение  
>Порты TCP/4439, 4440, 4443
>UDP-соединение   Порты UDP/4440"
>Как разрешить протокол IP 250 в W2k SP4, если специально не запрещалось,
>файрвол для теста вообще отключаю? Что имеется в виду?

судя по описанию - это система АПКШ "Континент" от Информзащиты.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Протокол IP 250"  +/
Сообщение от Oleg (??) on 04-Фев-08, 18:30 
Начиная с версии 3.5 АПКШ "Континент" велосипедисты меняют протокол. Цикл изменений завершится в 3.6 инкапсуляцией в UDP.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Протокол IP 250"  +/
Сообщение от Romer email on 15-Ноя-08, 17:50 
так и не стало ясно что делать с эти TCPfuck протоколом ip 250
про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не добился.....
коллега (далеко работает) сказал так -  "И пакеты содержат некорректные поля. Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
переводить из за одной программы всех на новый шлюз проблематично да и приобретение isa или другого файрвола - для муниципалов гиморно :(
помогите кто чем может !!!!!
с меня на пиво не заржавеет :)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Протокол IP 250"  +/
Сообщение от iles email(ok) on 29-Янв-09, 12:54 
>[оверквотинг удален]
>250
>про корявые ручки слышал. с мапингом на керио поэксперементировал. полноценного конекта не
>добился.....
>коллега (далеко работает) сказал так -  "И пакеты содержат некорректные поля.
>Керио их не пропускает! Потому как это не протокол поддерживаемый керио!!"
>
>переводить из за одной программы всех на новый шлюз проблематично да и
>приобретение isa или другого файрвола - для муниципалов гиморно :(
>помогите кто чем может !!!!!
>с меня на пиво не заржавеет :)

Точно такой же ГЕМОРОй с этим 250 протоклом!!!!
имеется сетка из роутров CISCO
CISCO 3640 --> CISCO 5400 ---> CISCO 5350 ---> Вышестоящий пров.

на 3640 циску по PPPoE конектетяться юзеры (ADSL).
на 5400 циски в сабинтерфейсе сидит казначейство.

собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!! (да и смысла в них нету никакого), но ни хера не работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный канал Информзащиты не "запускается". Админы из информазащиты говорят -  у вас не идет 250 протокол, у вас там фильтры стоят, и все.((( Но фильтров то нет, ничего "специально" не режиться, в чем дело ума не приложу.((

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Протокол IP 250"  +/
Сообщение от RusLan (??) on 03-Мрт-09, 12:49 
>[оверквотинг удален]
>на 5400 циски в сабинтерфейсе сидит казначейство.
>
>собственно юзеры, зарегистрировавшись на 3640 идут на 54000 (дефолтный маршрут), с нее
>попадают в казначейство. НИКАКИХ фильтров и правил на этом участке НЕТУ!!!!!!
>(да и смысла в них нету никакого), но ни хера не
>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>канал Информзащиты не "запускается". Админы из информазащиты говорят -  у
>вас не идет 250 протокол, у вас там фильтры стоят, и
>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>дело ума не приложу.((

возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь - прога полностью эмулирует работу Континента по портам

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Протокол IP 250"  +/
Сообщение от iles email(??) on 03-Мрт-09, 14:34 
>[оверквотинг удален]
>>(да и смысла в них нету никакого), но ни хера не
>>работает "ихняя" прога, все пингуется все тип-топ, но это замудренный секурный
>>канал Информзащиты не "запускается". Админы из информазащиты говорят -  у
>>вас не идет 250 протокол, у вас там фильтры стоят, и
>>все.((( Но фильтров то нет, ничего "специально" не режиться, в чем
>>дело ума не приложу.((
>
>возьми в хел-деске "Информзащиты" прогу - portcheck - ставишь ее у себя
>и ответную часть на внешнем (прямом)интерфейсе - запускаешь и смотришь -
>прога полностью эмулирует работу Континента по портам

Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу с NAT ни в какой форме, что совсем НЕ гуд(((( К примеру у клиента 10 компов, все идут через адсл модем, в модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый комп pppoe и вешать отдельный логин???

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Протокол IP 250"  +/
Сообщение от Олег (??) on 04-Май-09, 22:53 
>Проблему нашли. И эта утилита ее подтвердила - Континент не приемлет работу
>с NAT ни в какой форме, что совсем НЕ гуд(((( К
>примеру у клиента 10 компов, все идут через адсл модем, в
>модеме ессенно pppoe+NAT - и че теперь делать??? выносить на каждый
>комп pppoe и вешать отдельный логин???

А можно уточнить: какой NAT используется? В принципе для одного криптошлюза можно попытаться настроить... К нему периодически обращается центр управления сетью, поэтому это правило нужно прописать, ну и собственно обратное тоже лучше явно задать... В версии 3.5 всё инкапсулировано в UDP собственно...
Вообще в версии 3.6 возможно будет поддержка динамического NAТ

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Протокол IP 250"  +1 +/
Сообщение от DSRClient email on 21-Янв-10, 08:38 
Вот вся реализация

iptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440  -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE

<Server> IP адрес сервера
<Local> IP адрес компьютера с СЭД

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Протокол IP 250"  +/
Сообщение от iles (??) on 21-Янв-10, 13:56 
>[оверквотинг удален]
>iptables -t nat -A PREROUTING -s <Server> -p udp --sport 4440  -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4439 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4440 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>
><Server> IP адрес сервера
><Local> IP адрес компьютера с СЭД

Ага, это если у клиента стоит Nix-вая железка или серв.
А если у него тупой адсл модем со "встроенным" NAT ??

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Протокол IP 250"  +/
Сообщение от DSRClient email on 22-Янв-10, 02:18 
>[оверквотинг удален]
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4441 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p tcp --sport 4443 -j DNAT --to <Local>
>>iptables -t nat -A PREROUTING -s <Server> -p 250 -j DNAT --to <Local>
>>iptables -t nat -A POSTROUTING -o eth1 -s <Local> -d <Server> -j MASQUERADE
>>
>><Server> IP адрес сервера
>><Local> IP адрес компьютера с СЭД
>
>Ага, это если у клиента стоит Nix-вая железка или серв.
>А если у него тупой адсл модем со "встроенным" NAT ??

А какая разница ? У меня клиент стоит на Windows а роутер на CentOS. На стороне клиента основным шлюзом пишим IP роутера.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Протокол IP 250"  +/
Сообщение от iles (??) on 22-Янв-10, 13:26 
>>[оверквотинг удален]
>>.... а роутер на CentOS.

В этом разница!
Для клиента модем является роутером, так как именно модем конектится по PPPoE, получает внешний IP и пускает юзера в инет под этим IP используя "свой" NAT.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Протокол IP 250"  +/
Сообщение от DSRClient email on 27-Янв-10, 07:10 
>В этом разница!
>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>получает внешний IP и пускает юзера в инет под этим IP
>используя "свой" NAT.

iles Читай самое первое сообщение и сразу все станет ясно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Протокол IP 250"  +/
Сообщение от iles (??) on 27-Янв-10, 09:55 
>>В этом разница!
>>Для клиента модем является роутером, так как именно модем конектится по PPPoE,
>>получает внешний IP и пускает юзера в инет под этим IP
>>используя "свой" NAT.
>
>iles Читай самое первое сообщение и сразу все станет ясно.

Пля... ссори, ступил. Я просто тоже писал по такой же проблеме (там НЕ про Linux было), и решил что это "тот-же" топик.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Протокол IP 250"  +/
Сообщение от spider_fingers (ok) on 16-Дек-10, 14:09 
Ребята, а нужен ли он вообще?


iptables -A FORWARD -s $KATYA -d $CONTINENTSERV -p udp --sport 7500 --dport 4433 -o $inet -j ACCEPT

где
$KATYA компьютер с континентом
$CONTINENTSERV сервер континента
$inet интернет-интерфейс на шлюзе

больше он никуда и не ходит

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру