Telewell EA501 v3 ei ohjaa liikennettä oikein

[Jussi Seppälä 1]

Ostin pari päivää sitten EA501 v3:n korvaamaan vanhan modeemi- ja D-Link DI-614+ -yhdistelmän. Lähiverkossani on kolme konetta, joista yksi on palvelinkäytössä. NAT oli siis luonnollisesti peruskamaa.

 

Kuten D-Linkinkin kanssa, porttiohjaus on tarpeen http-, SSH- ja Windows Remote Desktop -liikennettä varten. Http:n ja SSH:n tulee ohjautua palvelimelle ja RD:n pöytäkoneelleni. Sitten tuli ongelma vastaan. Telewell otti kaikki "ohjelmallinen palvelin" -määritykset kiltisti vastaan, mutta ainoastaan SSH:n ja RD:n ohjaus toimii. Kaikki ulkoverkosta tuleva http-liikenne (80) tökkää Telewelliin. Määritykset ovat takuulla oikein, eihän siinä oikeastaan mitään olekaan minkä voisi kätellä.

 

Palvelin toimii aivan kuten pitääkin. Sisäverkosta palvelimen www-sivuille pääseekin aivan normaalisti, ja kuten mainittua, muu kuin portin 80 liikenne kulkee sujuvasti laitteen läpi. Myös DMZ:ksi määritetylle palvelimelle pääsee ulkoverkosta normaalisti. DMZ:n käyttö ei kuitenkaan säväytä.

 

Voiko laitteessa olla näin valikoivaa vikaa vai enkö todellakaan vain ole huomannut jotain perusjuttua? Kaksi iltaa on nyt kulunut kiroten koska uskon sataprosenttisesti kaiken olleen kuten pitikin.

[Esa Lehtismäki 0]

Oletko varma, ettei ISP:si ole alkanut estää sisääntulevaa TCP:tä porttiin 80? Tämä on yleinen käytäntö kuluttajaliitymissä, joihin ei kuulu oikeutta palvelimien pitämiseen. Tämän voit helposti kokeillakin vaihtamalla webbipalvelimen portiksi vaikka 88 (httpd.conf:issa, jos Apachea käytät). Selaimeen osoitteeksi sitten vaan http://minun.palvelin:88

[Jussi Seppälä 1]

Ei sentään. Sehän tekisi mahdottomaksi tämänhetkisenkin tilanteen, jossa palvelin on konffattu Telewellissä DMZ:ksi. Tällä hetkellä TW siis ohjaa kaiken ulkoverkosta siihen tulevan liikenteen kyseiselle koneelle.

 

Http-liikenne ja kaikki toimii kyllä nyt hyvin (DMZ-kuviolla), mutta tilanne ei vain ole optimaalinen. Paljon mielummin olisin tilanteessa, jossa rauta estäisi palvelimen turhan kolkuttelun. Onhan palvelimella toki vielä softapalomuurikin, joka blokkaa turhat portit, mutta kuitenkin.

[Esa Lehtismäki 0]

Milläs logiikalla kaikki liikenne menee DMZ:aan? DMZ (demilitarisoitu vyöhyke) pitäisi olla konffattavissa aivan samoin kuin sisäverkkokin, sillä erotuksella vaan että jos serveri on (kunnolla konfiguroidussa) DMZ:ssa, niin palvelimeen murtautuminen ei vielä avaa pääsyä sisäverkon koneille. Webbipalvelimen sijoittaminen DMZ:aan on enemmän kuin suotavaa, mikäli palomuuri sellaisen vaihtoehdon tarjoaa, mutta ei sen pitäisi millään lailla haitata NAT-määrityksiä. Ethän ole yhdistänyt palvelinta DMZ-porttiin ja yrittänyt konffata sitä siitä huolimatta sisäverkkoon? DMZ kun on ihan fyysisesti eri verkko. Ja tietysti se myös tarvitse4e ihan oman osoiteavaruutensa, mikä tietty ei aiheuta ongelmia feikkiosoitteilla. Sisäverkon ja DMZ:n väliseen liikennöintiinkin tarvitaan sitten säännöt (jotka eivät ole luokkaa "salli kaikki" ainakaan DMZ -> LAN). Tuon Telewellin ohjelmointilogiikkaa en tunne niin en siitä sen enempää osaa kertoa.

[Jussi Seppälä 1]

Voihan se tietysti ollakin niin, että DMZ:n käyttö olisi tällaisessa tapauksessa perusteltua. Kuitenkin juttu lähti alkujaan siitä, että minua ärsyttää suunnattomasti se, etten saa toimimaan sellaista, minkä pitäisi toimia ja mikä on konffattu oikein (ohjelmallinen palvelin / virtual server). Eniten tietysti sapettaa se, että vanhoillakin laitteilla kaikki pelasi, eikä uudemman modeemin ainakaan huonompi soisi olevan.

 

Vaikka palvelin olisikin "vain" konffattu TW:ssä ohjelmalliseksi palvelimeksi (virtual server), ei sinne murtautuminen avaa pääsyä lähiverkon muille koneille.

 

 

[Esa Lehtismäki 0]

Avaa, jos ne ovat samassa verkkosegmentissä. NAT tietenkin hankaloittaa murtautumista, koska vain erikseen määrätyt portit ovat käytössä, mutta jos voro pystyy perustamaan takaportin palvelimeen, hän pääsee muihin saman verkon koneisiin siitä menemättä enää verkon palomuurin läpi. Jos palvelin on DMZ:ssa, hän ei takaportista huolimatta ole yhtään lähempänä LAN:issa sijaitsevia koneita. Se on koko DMZ:n olemassaolon syy.