Topic: Aprire porte su sme in modalità gw

[MicSme]

Ciao a tutti,
Chiedo un consiglio poiche' dovrei aprire due porte sullo sme server da internet verso la lan,  pero' vorrei abilitare tale regola solamente
per le richieste effettuate da un determinato ip pubblico e idealmente solo verso un mac address determinato all'interno della rete.
Dulcis in fundo dovrei fare un routing tra la rete lan e un altra classe di rete sempre all'interno della stessa.
Provo a fare uno schemino:
internet-->sme srv modalita' gw-->lan-->lan2
Michele

[Fumetto]

Se SME è server/gateway c'è l'apposita funzione sotto il server-manager per il portforwading (mi pare sia pure possibile "bloccare" l'IP esterno).
Se lan e lan2 sono collegate allo stesso switch penso basti inserire la classe di lan2 sulle reti "sicure" di SME... ma non ne sono molto sicuro... mai fatto.

[MicSme]

la route statica sembra non funzionare. il ping a 10.105.29.X mi da' unreachable.
eppure facendo iptables -L la regola sembra ok
Chain local_chk_7168 (1 references)
target     prot opt source               destination
ACCEPT     all  --  10.105.29.0/24       anywhere
come fare un network  "debug"?

[Stefano]

allora..
per quanto riguarda il port forward, da CLI, sul db portforward_tcp o portforward_udp, in corrispondenza delle porte forwardate, puoi aggiungere la direttiva AllowHosts

http://bugs.contribs.org/show_bug.cgi?id=2379 per maggiori dettagli..
la cosa pare non essere ancora stata wikizzata, ma per la sintassi puoi dare un'occhiata a
http://wiki.contribs.org/SME_Server:Documentation:FAQ:Section05#Additional_information_on_customizing_iptables

quanto all'altra questione, lan e lan2, come sono connesse e chi fa da router?
dettagli, grazie

per il debug, tcpdump, ma penso dovresti eseguirlo sul target.. e comunque, se SME non vede lan2, ovviamente non sa cosa farne dei pacchetti verso lan2

[MicSme]

quanto all'altra questione, lan e lan2, come sono connesse e chi fa da router?

lan e' lo sme server in modalità gateway
lan2 e' un router non in mia gestione che permette il controllo remoto di un macchinario
( la vpn su di questo verso il server del fornitore funziona senza che io abbia creato nessuna regola di port forwarding!)
io ho la necessità di scaricare dei dati dal macchinario ma senza route statica funzionante sono bloccato

[Stefano]

lan e' lo sme server in modalità gateway

ok, e questo non era un dubbio

lan2 e' un router non in mia gestione che permette il controllo remoto di un macchinario

ok, quindi:

Code: [Select]

internet-->sme srv modalita' gw--> lan --> router --> macchinario su lan2

giusto?

( la vpn su di questo verso il server del fornitore funziona senza che io abbia creato nessuna regola di port forwarding!)

la frase non mi è chiara.. il router del fornitore riesce a connettersi al server remoto del fornitore stesso tramite una sua vpn? ho capito giusto?
se fosse, posto che router del fornitore DEVE avere un gw definito e, se non ce ne sono altri, il suo gw è SME, non ci vedo nulla di strano..

io ho la necessità di scaricare dei dati dal macchinario ma senza route statica funzionante sono bloccato

anche qui.. cosa significa? dalla tua lan devi accedere al macchinario? da internet devi accedere al macchinario?

sii verboso

[MicSme]

hai capito perfettamente!
dalla mia lan devo accedere al loro router sul quale e' collegato il macchinario

[Stefano]

bene.. se quel router, o meglio, se dalla lan dietro quel router si riesce ad andare su internet significa che quel router ha SME come gw.. se ha SME come gw significa che ha un ip nella tua lan (il target del tuo port forward, suppongo)..
se quel router non permette il traffico lan -> lan2 (ma solo vpn -> lan2 o lan2 -> wan) e non lo gestisci tu, non puoi fare nulla, sic et simpliciter

il che mi fa supporre che quello che vuoi fare sia "non consentito" dalla casa madre del macchinario (non ci metto valenza "etica" nelle parole, che sia chiaro)..

[MicSme]

no Stefano tranquillo quello che tento di fare e' super lecito
come soluzione uso un pc con un nic sulla loro classe di rete e ho risolto

[Stefano]

non parlavo di illecito (tra l'altro ti conosco e non riesco a pensare a te e "illecito" nella stessa frase se non con una negazione)

solo che magari il supporto per quel router (per fargli fare una modifica) costa un botto e tu stai cercando un workaround (è il primo compito di un sysadm)

[MicSme]

piu' che altro loro dicono che dovrebbe funzionare gia' tutto ma di fatto
se pur avendo fatto la route statica verso la loro rete non sono ancora raggiungibili
altro non posso fare che tirare un cavo dritto sul router loro con nic dedicato sul pc
grazie come sempre e ciao!