prosím o radu problém s portami

[elmor]

Dobrý večer vospolok

Prosím Vás riešim jednu vecičku, je to v podstate web server na ktorom je uložená jednoduchá stránka odkazujúca sa na ďalšie dva web servery, na ktorých beží java aplikácia o meraní určitých veličín z PLC od firmy Schneider electric. Celý problém spočíva v tom, že cez verejnú IP adresu XX.XX.XX.XX:1081 sa dostanem na web server (10.30.0.7) na ktorom je uložená html s odkazmi na ďalšie web servery v lokálnej sieti s adresami 10.30.0.2 a 10.30.0.3. tieto servery komunikujú jednak cez protokol 80 a port 502 na ktorom sa čítajú hodnoty z rs485 problém je v tom pokiaľ sa pripájam v lokálnej sieti ide všetko korektne a po pripojení z verejnej ip adresy sa nevie "asi" rozhodnúť že z ktorého servera má čítať aké dáta. Známy, ktorý je ISP pre daný objekt mi poradil že teoreticky mám tri možnosti riešenia. jedno som zavrhol a to je VPN. druhé je Proxy čo sa mi zdá najreálnejšie pretože by som mohol využiť klasický IE ako klienta na vzdialený web server.prosím Vás preto o radu akým spôsobom implementovať Proxy do môjho problému. ako GW je tam RB750.

PS : bližšie info ak bude treba ešte rozpíšem.

príloha je zrealizovaná časť

ovladanie jpg.jpg (59.4 KiB) Zobrazeno 2235 x

[Hallo]

Na MK použij Dsnat na ip adresy 10.30.0.2 a 10.30.0.3 pro ty porty které potřebuješ mýt venku.Jelikož máš jen jednu veřejku,tak musíš každý port použít jiný,tj web toho zarizeni s ip adresou 10.30.0.2 bude na verejna:8080,pro 10.30.0.3 8090 atd.

[Hallo]

Příklad dsnatu z manuálu mikrotika

/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234

dst port je port na veřejné adrese,to port a to addressje port a adresa zařízení na vnitřní síti

[elmor]

to je všetko nastavene ale problém je v tom že na ip adresu 10.30.0.2 musím smerovať porty 80 a 502 v tom problém nevidím ale na ďalšie zariadenie musím smerovať rovnaké porty 80 a 502. a to z dôvodu že nedokážem na zariadení zmeniť port 502 takže cez verejnú IP xx.xx.xx.xx musí ísť informácia na porte 502 ale už na mikrotiku sa to nevie rozdeliť. prikladám obr. ako by to malo fungovať

ovladanie2 jpg.jpg (102.3 KiB) Zobrazeno 2194 x

[basty]

No takhle to proste nejde udelat... bud budou venkovni porty jiny, nebo to takto nepojede. Bud 2 verejne, nebo VPN.

[hapi]

napiš pravidlo tak, aby z venku ses dotazoval na třeba 501 a pravidlo to přehodilo na 502. Pak to možný je.

[elmor]

v podstate mas pravdu hapi ale ono je tam háčik v tom že nedokážem zmeniť port v tom priblblom web serveri. lebo ževraj je to už od výroby dané.

známi mi odporučil aby som porozmýšľal o proxy serveri, ale ďalší háčik je v tom že niesom až tak dokonalý aby som vedel načo slúži proxy alebo akú má funkciu a či by to šlo

[hapi]

port v zařízení zůstane tak jak je, akorát z venku použiješ jinej port a dst-natem si po předěláš na správnej port.

[elmor]

ano ale to by som musel prekonfigurovať celý web server a to sa mi asi nepodari. lebo je to výrobok od shneider electric

[hapi]

nic si nepochopil.

[Hallo]

Na zařízení nic neměň,změn jen dst porty v těch dst nat pravidlech,tak že to adress a to port bude vždy směrované na port 80 a dst port bude vždy jiný aby jsi se mohl dostat zvenku na všechny služby con chceš,akorád hold budou venku na jiných portech než uvnitř..

[elmor]

hapi ja to chapem ale na spojenie s web serverom nepouzivam ziadny obslužný program ale klasicky IE alebo mozilu a ako tej poviem ze ma sa odkazovat na iny port ked v jave ma nastavenu komunikaciu cez 502 ako data????

[Hallo]

Pokud to je takhle,tak ti zbývají dvě možnosti,dokoupit ještě jednu veřejnou adresu,anebo VPN ...Ten port 502 můžeš směrovat jen na jednu službu uvnitř sítě.

[elmor]

a cez proxy by sa to nedalo ???? to bol napad známeho.