Miten portit auki vain toiselle lähiverkossa NAT:n takana olevalle koneelle?

[Toni Tihleman 0]

Jeps, on monia ohjelmia, jotka käyttävät randomilla portteja todella isolta väliltä. Joten miten ihmeessä saan vain toiselle koneelle vaikkapa kaikki portit avattua? Kuhan ei omalle koneelle tulisi kaikkea läpi. Port forwarding ei tunnu auttavan. Eikä myöskään uPnP. ADSL-boxi on Telewellin EA2000.

[Teemu Lokka 53]

DMZ, Eli Demilitarized zone jos vaan tuossa purkissa on tuki sille.

http://en.wikipedia.org/wiki/Demilitarized_zone_%28computing%29

[Toni Tihleman 0]

Hmmh, tukee ja tukee 

 

Tuosta kun painaa apply niin hetken vain miettii, mutta tulee takaisin tuohon samaan kohtaan. Ihmetyttää myös kun molemmat vaihtoehdot on "pois päältä" http://www.telewell.fi/tw_ea2000/pdf_tiedostot/tw_ea2000_ohjekirja.pdf eikä tuoltakaan pahemmin apuja tunnu löytyvän 

 

[ attachment removed / expired ]

 

[Esa Lehtismäki 0]

Eihän tuo mikään DMZ ole vaan sisäverkko. Eli salli liikenne koko näennäisverkostasi (esim. 192.168.0.0 maski 255.255.255.0) kaikkiin yläportteihin (1024-65535) ihan tavallisilla palomuurin porttimäärityksillä. Tuon purkin DMZ näyttäisi tosin tarkoittavan jotain muuta kuin varsinaista DMZ:aa, mutta eiköhän sillä silti ole tarkoitus määritellä ulos näkyvä palvelin, josta ei vielä pääse sisäverkkoon käsiksi. Se on eri asia.

[Toni Tihleman 0]

Hmm okei. Miksi käy näin? Mistä tiedän, että portit on auki just 192.168.0.101:lle kun tuo muuttaa loppuosan 0.0:ksi.

 

[ attachment removed / expired ]

 

 

[ attachment removed / expired ]

 

Hmm, pikaisen testin jälkeen ainakin vielä omalta koneeltaki blokkailee liikennettä. Eli se on hyvä asia. Onko toi joku hallintasoftan oma jekku vaan, että tulee 0.0 tuon 101:n tilalle...?

[Esa Lehtismäki 0]

Siksi, että verkkomaskisi on 255.255.255.0, jolloin sallittu verkkosegmentti kattaa osoitteet 192.168.0.0 - 192.168.0.255. Verkkosegmentti ilmoitetaan aina alkuosoitteesta lähtien.

[Toni Tihleman 0]

Nyt ei ymmärrä, miten se siis pitäisi laittaa? Tuo 192.168.0.0 asetus ei avaa portteja tuonne 101-loppuiselle koneelle. Jos verkkomaskiksi laittaa 255.255.255.101 niin saan sen näkymään tuonne niin kuin kai pitäisikin, eli 192.168.0.101 eikä 0.0. Mutta pitääkö sitten toiselle koneelle vaihtaa verkkoasetuksista verkkomaski myös? Se ei tuntunut ainakaan onnistuvan, koska verkkomaskin pitää olla jatkuva tjsp. 

[Esa Lehtismäki 0]

Verkkomaski kertoo vain, kuinka laaja osoitealue tähän segmenttiin kuuluu. Verkkomaski ei ikinä voi olla mikään 101, vaan segmentit ovat tietyn kokoisia. Maski on aina sama kaikissa saman verkon koneissa. Voit hyvin käyttää 255.255.255.0:aa, koska verkkosi on näennäisosoitteilla. Silloin koneet ovat samassa segmentissä, jos ensimmäiset kolme numerosarjaa ovat samat (192.168.0). Osoitteen on oltava eri joka koneelle, eli 192.168.0.1, 192.168.0.2 jne.

[Toni Tihleman 0]

Ei nyt leikkaa yhtään, osaatko sanoa suoraan mitä tonne pitää iskeä, että homma rupee toimimaan?

[Esa Lehtismäki 0]

No, jos haluat avata kaikki portit sisäverkon koneiden välille, tee noin kuin tuossa on, paitsi porttialue alkamaan nollasta myös kohdepäässä. Jos haluat avata vain yläportit, eli ne, mitä ohjelmat arpovat, laita lähdealue alkamaan 1024:stä. Sitten tee samanlainen, missä protokollana on UDP.

 

Kaikkien koneiden osoitteet pitää olla määritetystä segmentistä, eli jos verkkomaski on 255.255.255.0 niin ensimmäisten kolmen luvun pitää olla kaikissa samat. Tuossa tekemäsi määritys toimii, jos kaikkien koneiden osoite alkaa 192.168.0.

[Toni Tihleman 0]

Mutta sitten se avaa kaikki portit myös omalle koneelleni vai?

[Esa Lehtismäki 0]

Ahaa, ymmärsin väärin. Halusit siis halusit portit auki vain toiselle koneelle julkisesta internetistä? Sieltä kannataa sallia vain se mikä pakko on. Eli jos oli kyse siitä, että haluat toimia peliserverinä kavereillesi, avaa portit vain heidän osoitteiltaan. Tai vähintäänkin avaa vain ne portit mitkä täytyy. Sinun pitää määritellä ne NAT:iin, koska koneillasi ei ole oikeita osoitteita.

[Toni Tihleman 0]

No siis, porukat käyttää muutamia ohjelmia, jotka tuntuu arpovan käytettäviä portteja juurikin tuolta 1024-65535 täysin randomilla, joten en voi määrittää vain muutamia portteja, vaan pitäisi saada koko roska auki tuonne toiselle koneelle. Kuitenkin sillä lailla, ettei omalta koneeltani olisi noita portteja auki eli  olisin itse "turvassa" 

[Esa Lehtismäki 0]

Laita NAT välittämään kaikki yläportit sille toiselle koneelle.

[Toni Tihleman 0]

Miten/mistä se sellainen hokkuspokkus temppu mahdetaan tehdä?  ???

[Esa Lehtismäki 0]

Sen purkin NAT-asetuksissa.