» Флейм для сисадминов (часть V)

servisman
Не знаю уже даже и чем посоветовать тут, а вот там, в "Apache: .htaccess и страницы ошибок (404.html и др.)", и сам посмотри, и поспрашивай.

cchameleone, Да не то там советуют!

servisman
Цитата:

Да не то там советуют!

Там советуют те же люди, которые будут советовать и здесь.
Ты считаешь, что во Флейме получишь лучший ответ, чем в специализированной теме?
Тем более что непонятно, чего ты хочешь, и ИМХО тебе самому в первую очередь.
И чем тебе уперся именно .htaccess? Не нравится стандартный ответ - ставь свой.
https://httpd.apache.org/docs/2.4/custom-error.html
Кстати, советовали в той теме все по делу.

vlary, в общем сделал таки через htaccess....

servisman
Цитата:

сделал таки через htaccess

вот так всегда.. сначала долго выносил моск, а потом всё-рно сделал как изначально было.. эхх.. ))

TheBarmaley_TMP, ой, всёООО

Господа сисадмины.
Кому приходилось решать следующую задачку и кто как её решал?
Дано.
1. Домашний комп в квартире подлючённый к сети провайдера через роутер имеющий динамический IP. Роутер провайдера и настроить DDNS не позволяет.
2. Подсетка на предприятии имеющая многоуровневую защиту влючая "прокси-защиту". (никакие ТОРы и т.д. не работают)
3. Из подсетки есть возможность прокинуть SSH туннель используя один технический порт, открытый для этого.
4. Есть в третьей точке Internet некий сервер на FreeBSD с полным к ниму доступом и имеющий белый IP, но жёстко ограниченный в трафике.
Задача.
Как то связать п.1 и п.2 в единую локалку со всеми доступами. Включая выход в интернет компьютеров сети п.2 через провайдера п.1.
Я лично вижу только путь
п.1 (клиент) -> п.4(сервер) <-п.2(клиент)
Но это трафик, что есть категорически неподходящий вариант.
Как то можно создать связь "клиент <-> клиент" используя "сервер" только для первичной инициализации соединения?

P.S.
Ещё нюанс.
Упомянутый SSH туннель можно пробрасывать тоже не повсюду, а только к серверу на FreeBSD из п.4. (ну на самом деле не только, но там такой заумный фильтр, что проще считать так... на публичные VPN и прокси через этот порт не подключишся, к ряду провайдеров тоже .... короче ХЗ что там в головах ещё родится... а ЭТОТ сервер и ОДИН порт мною выбит "железно")
Сам же этот сервер ограничений по выходу в Internet не имеет.

gryu
Т.е. возможности использовать OpenVPN п.1 (клиент) <-> п.2(клиент) нет?

VV2015
Да. Такой возможности Я не вижу. Может я и не прав...
P.S.
Ещё нюанс.
Упомянутый SSH туннель можно пробрасывать тоже не повсюду, а только к серверу на FreeBSD из п.4. (ну на самом деле не только, но там такой заумный фильтр, что проще считать так... на публичные VPN и прокси через этот порт не подключишся, к ряду провайдеров тоже .... короче ХЗ что там в головах ещё родится... а ЭТОТ сервер и ОДИН порт мною выбит "железно")
Сам же этот сервер ограничений по выходу в Internet не имеет.

gryu
1. Маршрутизатор имеет динамический "белый" адрес?
2. У домашнего ПК "серый" адрес?
3. Сеть предприятия управляется не Вами?

reff
1. нет. (гм... хотя нужно проверить лишний раз....)
2. да
3. да.

Добавлено:
По поводу адреса дома сомнения в связи с тем что я менял провайдера недавно... может про то что внешний адрес маршрутизатора серый это ложная память.

gryu
Проверять не нужно. Даже если у маршрутизатора белый адрес, Вы не сможете переместить домашний ПК в DMZ, ибо не контролируете маршрутизатор. Еще один NAT ни на что не влияет. В итоге, если не менять провайдера и/или маршрутизатор, то ПК может быть только клиентом, но не сервером.
А что если запустить "на работе" машину с нужной ОС и RDP/VNC/etc на ней и подключаться "из дома" пусть даже через тот самый внешний сервер?

reff

Цитата:

RDP/VNC/etc

не пашут.
Точнее их можно запустить только по SSH туннелю с выходом в inet с сервера под фряхой(п.4).
Так сейчас и делаю. Но это трафик. ....
Вот я и спрашиваю "а как быб исключить сервер из п.4 из этой цепочки?"

gryu
Цитата:

Точнее их можно запустить только по SSH туннелю с выходом в inet с сервера под фряхой(п.4).

Точнее, инкапсулировав их трафик в туннель.
Цитата:

Вот я и спрашиваю "а как быб исключить сервер из п.4 из этой цепочки?"

Имея доступ только к SSH и не затрачивая денежные средства, вероятно, никак.

reff
а затрачивая денежные средства??
Цитата:

Точнее, инкапсулировав их трафик в туннель.

ну да. В понедельник "умные слова" в голову плохо лезут.

gryu
Цитата:

а затрачивая денежные средства??

Варианты:
1. Оплатите трафик для существующего сервера;
2. Купите белый адрес у провайдера, если такая услуга предоставляется (при необходимости в маршрутизаторе, понадобится контроль над ним);
3. Купите другой сервер, без ограничений трафика и т.п.

gryu
Цитата:

Как то можно создать связь "клиент <-> клиент" используя "сервер" только для первичной инициализации соединения?

Посмотри SoftEther VPN. Там есть несколько фишек,
которыми ты можешь воспользоваться. SecureNAT, NAT punch, ну и DynDNS он
тебе тоже обеспечит.

vlary
SoftEther VPN я уже смотрел.
То ли лыжи не едут, то ли ещё чего, но не пробивается он через защиту.
Это я о его возможности самому пробивать соединнения.
а как создать сервер-посредник я не понял...


Добавлено:
reff

Цитата:

3. Купите другой сервер, без ограничений трафика и т.п.

а он не продажный. Это сервер в ещё одной конторе.

gryu
Ваше ТЗ очень похоже на то, как обмениваются данными клиенты Р2Р между собой.

gryu

Поскольку вопрос явно вышел за рамки данной темы, ответил тебе в нужной.

urodliv
Цитата:

ТЗ очень похоже на то, как обмениваются данными клиенты Р2Р между собой.

Вот тут статейка по этому поводу, почти монография

vlary
Это она! В июне при борьбе с ip-телефонами три раза её читал. Потом что-то случилось и в закладках её не сохранилось. Неделю назад опять понадобилось её просмотреть, но так и не нашёл. А тут такое... прямо подарок. Спасибо.

vlary
в какой?
http://forum.ru-board.com/topic.cgi?forum=5&topic=46016&start=140 тут нет.

gryu
Цитата:

в какой?

Которая в нашем разделе, ессно. Мы же на SoftEther смотрим
с позиций не юзера, но сисадмина
urodliv
Цитата:

А тут такое... прямо подарок. Спасибо.

You are welcome!

gryu

Цитата:

Кому приходилось решать следующую задачку и кто как её решал?

Задача решается с помощью nhrp-протокола.
В вашем случае этой "3-й стороной" (nexthop-сервер) может быть фряшный сервак.
Называется это волшебство DMVPN

Цитата:

Клиент связывается с DMVPN сервером и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к цели. Эта система позволяет существенно разгрузить сервер.

Пошаговое руководство "на кошках" (правда, ковычки тут неуместны )

Не уверен, что на фре это можно сделать нативно (quagga, по-моему, тока динамику держит)
но при желании, изъебнуться таки можно, например через dynamips с ios-ом каким-нить 36хх-й серии...

как то так..

perdun
Цитата:

Называется это волшебство DMVPN

Нету там волшебства. Общение споков между собой напрямую
возможно при наличии у них белых айпи. А иначе - только через хаб.

vlary

Цитата:

Вот тут статейка по этому поводу, почти монография

ога, занимательное чтиво - в закладки адназначна

Добавлено:
vlary

Цитата:

Нету там волшебства. Общение споков между собой напрямую
возможно при наличии у них белых айпи.

ну согласен - нету, для чуда нужно их вывести в "белую" зону другими вспомогательными шагами (например, icmp\udp тунелями)..
думать короче надо и умные книшки читать..
ничо нет невозможного)

[more] К вопросу об испражнениях одноэсников, просто пожаловаться:
Две недели назад клиенты убили старый rdp-сервачок на базе win2003, запустив шифровальщика. (благо, что базы 1С были в кластере)
Okay, думаю, у меня отличный повод порезать вам всем доступы.
На готове уже была 2008r2.
За один день настроил запуск 1С через remoteapp, запретил всем запуск полноценного рабочего стола (на случай слишком вумных), запретил в эксплорере доступ к диску C:, отключил вывод контекстного меню, подготовил обменник для тусования файлов между серваком и клиентами.
Сегодня ловлю звонок от 1с-Гкодера:
Он: - У меня не получается выгрузить файлы из 1с в банк-клиент.
Я: - Что ты для этого делаешь?
Он: - ... выбираю диск С: для выгрузки, а он мне говорит "этого диска не существует"
Вот, думаю, ты и попался, ***ука.
Ну а дальше я ему во всех красках рассказал, что диск С: системная директория, и ***рать туда быдло-кодерам я не позволю.

И эта сво**, еще скулила, что без доступа к рабочему столу ему неудобно работать.
Может кто еще какой чопик посоветует ему засунуть в отверстие? [/more]

temp_nickname
Рекомендую бур по бетону 30х100. Поглубже.

+
пусть бюстхалтэррором накроется, ХХЛ, - такие , бывало ещё, во времена флопиков вместо формать А: чмакали C:...

temp_nickname
Цитата:

Может кто еще какой чопик посоветует ему засунуть в отверстие?

про отключение флэшек на корню и выставку разрешения 640х480 как-то неудобно предлагать..
хоть и ГК, но, мож, как человек-то хоть ничо.. ну.. мы ж не звери в конце концов.. =))

зыж
ты, пока "молодой", пустой тэг /море в начало поста втыкай, цЫтатить неудобно.. )