Этого треда уже нет.
Это копия, сохраненная 3 сентября 2020 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 3 сентября 2020 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
257 Кб, 894x537Привет, анон.
Исходные данные:
- Домашний сервер с крутящимся на нем джаббером и почтой с серым IP (дебиан 10)
- VDS с белым IP (также дебиан 10)
- NAT провайдера между VDS и моим сервером
Задача:
Сделать безопасный доступ другим людям через белый айпи VDS исключительно к моему жабер-серверу (и ничему больше) как если бы они обращались к этому серверу напрямую через белый IP только без него. То есть чтобы в клиенте жабы вводился IP и порт VDS, а VDS пробрасывало соединение напрямую до моего домашнего сервака.
Гуглил много, но запутался в обилии решений. Вижу выход в прямом VPN туннеле между сервером и VDS. В гугле предлагают в основном туннель между роутером и VDS, чтобы получать доступ ко всей локальной сети, но оно мне нахуй не нужно, как ты понимаешь.
Что почитать по этой теме? Могу я провернуть такую схему без необходимости авторизации сторонних пользователей на VDS? В моем представлении решение выглядит таким образом: между VDS и сервером прямой VPN туннель, все входящие соединения по нужному порту (соединения по всем остальным портам реджектятся) пробрасываются с помощью iptables через VPN туннель на сервак, где обрабатываются и так же по туннелю нужные данные возвращаются VDS, который в свою очередь отдает их пользователю. Где я обосрался?
Исходные данные:
- Домашний сервер с крутящимся на нем джаббером и почтой с серым IP (дебиан 10)
- VDS с белым IP (также дебиан 10)
- NAT провайдера между VDS и моим сервером
Задача:
Сделать безопасный доступ другим людям через белый айпи VDS исключительно к моему жабер-серверу (и ничему больше) как если бы они обращались к этому серверу напрямую через белый IP только без него. То есть чтобы в клиенте жабы вводился IP и порт VDS, а VDS пробрасывало соединение напрямую до моего домашнего сервака.
Гуглил много, но запутался в обилии решений. Вижу выход в прямом VPN туннеле между сервером и VDS. В гугле предлагают в основном туннель между роутером и VDS, чтобы получать доступ ко всей локальной сети, но оно мне нахуй не нужно, как ты понимаешь.
Что почитать по этой теме? Могу я провернуть такую схему без необходимости авторизации сторонних пользователей на VDS? В моем представлении решение выглядит таким образом: между VDS и сервером прямой VPN туннель, все входящие соединения по нужному порту (соединения по всем остальным портам реджектятся) пробрасываются с помощью iptables через VPN туннель на сервак, где обрабатываются и так же по туннелю нужные данные возвращаются VDS, который в свою очередь отдает их пользователю. Где я обосрался?
>>2739 (OP)
маловероятно, что я подскажу хорошее решение, но я прочитал твой текст поэтому уточню:
почему не хочешь разворачивать сразу на VDS?
как ты решил аналогичный вопрос со своей почтой или возможно ты хочешь решить их вместе?
решение которое ты описал первое, что приходит в голову
маловероятно, что я подскажу хорошее решение, но я прочитал твой текст поэтому уточню:
почему не хочешь разворачивать сразу на VDS?
как ты решил аналогичный вопрос со своей почтой или возможно ты хочешь решить их вместе?
решение которое ты описал первое, что приходит в голову
>>3704
Ему никто не пишет, вот он и не в курсе, что не работает.
> как ты решил аналогичный вопрос со своей почтой?
Ему никто не пишет, вот он и не в курсе, что не работает.
Давай ща распишу. Есть vpn от твоего сервера до vds. Допустим сетка 10.0.0.0/8. На своем vds делаешь проброс портов в сетку 10.0.0.0/8, а точнее на твой ip сервака. И все.
>>2739 (OP)
Вся суть подкроватного серверостроения. В твоём случае будет достаточно ssh туннеля.
> с серым IP
> Задача:
> три абзаца боли
Вся суть подкроватного серверостроения. В твоём случае будет достаточно ssh туннеля.
>>4951
Двачую. Расписали вроде даже отлично. А он взял и съебал
Двачую. Расписали вроде даже отлично. А он взял и съебал
Скажите, на каком основании провайдеры пихают нам эту коряку-говняку для высматривания страничек, вместо доступа к интернету?? Недавно познал NAT и о%уел. Это же клиент-"онли" с обрубленными портами!!
Давайте превратим этот топик в вопросы-ответы по сетям.
?) Я правильно понимаю, что несколько пусть даже исходящих из НАТа, но одновременно-работающих траффика работать не будут? Например, я слушаю радио, читаю почту и общаюсь в мессенджере. Всё это - разные порты и разные соединения. Или на роутере НАТа преобразуются не машины, а соединения? Какой тогда лимит на их количество с одной машины? Или может быть так угодно, как только захочется админу сети, а нам об этом знать не обязательно?
Давайте превратим этот топик в вопросы-ответы по сетям.
?) Я правильно понимаю, что несколько пусть даже исходящих из НАТа, но одновременно-работающих траффика работать не будут? Например, я слушаю радио, читаю почту и общаюсь в мессенджере. Всё это - разные порты и разные соединения. Или на роутере НАТа преобразуются не машины, а соединения? Какой тогда лимит на их количество с одной машины? Или может быть так угодно, как только захочется админу сети, а нам об этом знать не обязательно?
>>5232
Каждый исходящий коннект преобразуется в случайный динамический порт, маппинг сохранятеся в нат таблицу. Если у тебя 10 машин с 5 исходящими соединениями, то на самом шлюзе будет занято 50 портов.
Каждый исходящий коннект преобразуется в случайный динамический порт, маппинг сохранятеся в нат таблицу. Если у тебя 10 машин с 5 исходящими соединениями, то на самом шлюзе будет занято 50 портов.
>>5232
На таком, что ipv4 адресов на всех не хватает
> Скажите, на каком основании провайдеры пихают нам эту коряку-говняку для высматривания страничек, вместо доступа к интернету??
На таком, что ipv4 адресов на всех не хватает
>>5243
Что помешает мне и моим односетчанам завалить шлюз кучей наших сокетов?
?) А маршрутизация голого IP уже не гарантируется? Положим, есть 2 "белых" ИП с известными адресами на разных провайдерах. Оба мои. Мне дадут гонять между ними IPv4 без вложенного в него протокола, куда так любят совать нос маршрутизаторы?
Что сделалось с концепцией независимости слоёв ОСИ? Почему я должен указывать в ИП, что там внутри? https://ru.wikipedia.org/wiki/Список_протоколов,_инкапсулируемых_в_IP
>>5249
Так надо писать "коряка-говняка" со скидкой 75%, а не "суперскоростной доступ в интернет" за 100. )
Что помешает мне и моим односетчанам завалить шлюз кучей наших сокетов?
?) А маршрутизация голого IP уже не гарантируется? Положим, есть 2 "белых" ИП с известными адресами на разных провайдерах. Оба мои. Мне дадут гонять между ними IPv4 без вложенного в него протокола, куда так любят совать нос маршрутизаторы?
Что сделалось с концепцией независимости слоёв ОСИ? Почему я должен указывать в ИП, что там внутри? https://ru.wikipedia.org/wiki/Список_протоколов,_инкапсулируемых_в_IP
>>5249
>не хватает
Так надо писать "коряка-говняка" со скидкой 75%, а не "суперскоростной доступ в интернет" за 100. )
>>5254
Ничего. Но скорее всего рост открытых сессий будет выявляться мониторингом и трактоваться как атака на отказ от обслуживания.
Да дадут. К слову и днат не противоречит оэсай.
>Что помешает мне и моим односетчанам завалить шлюз кучей наших сокетов?
Ничего. Но скорее всего рост открытых сессий будет выявляться мониторингом и трактоваться как атака на отказ от обслуживания.
> Мне дадут гонять между ними IPv4 без вложенного в него протокола
Да дадут. К слову и днат не противоречит оэсай.
Тред утонул или удален.
Это копия, сохраненная 3 сентября 2020 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 3 сентября 2020 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.