natd+ipfw

[amort]

Доброго времени суток всем.
Стоит сервак, который с помощью natd+ipfw всем раздает инет.
Работает под Фрей. На другом виндовом серваке крутится корпаративный сайт, на
который в определенные разделы можно зайти только под паролем. Все порты на
этот сайт мапятся на Фре с помощь rinetd.
Собственно в чем заключается вопрос. Программисты сделали на этом сайте
защиту от брутфорса, т.е. подбора пароля, которая блокирует тот ip с которого 10 раз
ввели неправильный пароль. Вот тут и возникает проблема - сервак с сайтом видит
все обращения с внутреннего айпи Фришного сервака. Потому, если кто-то не правильно
ввел пароль 10 раз, получается, что блокируются все.
Возможно ли сделать так, чтоб HTTP-серваком виделся именно реальный IP клиента??

Заранее всем благодарен за помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

убей нафиг ту защиту от тупых программеров
и не парь мозги

[amort]

Защиту прибить, к сожалению, нельзя. Один из программистов по ходу мой же начальник.
Плюс они не пользовались никакими апачами, ИИСами. Они написали, как я понимаю, свой
HTTP-сервер, который висит службой, в которую эта защита и "вмонтирована". Как оно все работает -
знают только они. Так что я смогу прибить все только полностью - вместе с сайтом. А это не решение проблемы.
Потому все же хотелось бы услышать если не конкретное решение, то хотя бы направление где копать, на
первоначальный вопрос темы.

[paradox]

ткни их носом

Потому, если кто-то не правильно
ввел пароль 10 раз, получается, что блокируются все.

пусть сами разбираються

потому как никто незнает что они там учудили

[amort]

Я ж говорю - нельзя так. Один из программистов мой начальник, из-за этого уже как минимум.
Если сделать, чтоб как-нить маппился еще IP клиента, помимо портов, то это бы решило вопрос.

[paradox]

вы знаете каким образом так эта ихняя херовина блокирует траффик?
если нет - то это гадание на кофейной гуще

[amort]

вы знаете каким образом так эта ихняя херовина блокирует траффик?
если нет - то это гадание на кофейной гуще

Приходят запросы по HTTP с неправильным паролем, IP , с которого пришел пакет - блокируется.

[paradox]

IP , с которого пришел пакет - блокируется.

вот именно
тоесть если ты сделаешь обход системы защиты ты ее фактически сделаешь безполезной

[amort]

IP , с которого пришел пакет - блокируется.

вот именно
тоесть если ты сделаешь обход системы защиты ты ее фактически сделаешь безполезной

Стоп. Похоже то ли я тебя не понимаю, то ли ты меня. Мне надо чтоб по определенному порту, на
определенный внутренний айпи HTTP-сервака транслировался не только порт, но и айпи. Каким образом
это повлияет на защиту?? Т.е. сделает ее безполезной? И про какую защиту идет речь - ipfw или ту, что программеры
сделали?

[paradox]

Мне надо чтоб по определенному порту, на определенный внутренний айпи HTTP-сервака транслировался не только порт, но и айпи.

я тоже не понял

Каким образом это повлияет на защиту??

ну как я понял на защиту что накрутили программеры
эта же защита мешает тебе

Т.е. сделает ее безполезной?

ну получаеться так

И про какую защиту идет речь - ipfw или ту, что программеры
сделали?

а откуда ж я знаю как ее сделали программеры
может она в ядро тоже лезет и как то ipfw крутит
я оттебя этого и добиваюсь

[Гость]

Все, понял.
Значит защита программеров заключается в блокировке (и только блокировке) айпи только на ихнем Веб-сервере.
Их защита к фришному серваку не имеет никакого отношения абсолютно.
Ipfw они не трогают никак вообще.
Вот тут и проблема, что rinetd, когда клиент заходит на сайт, транслирует на веб-сервер свой локальный айпи (192,168,0,х).
Потому, если кто-то из клиентов вводит не правильно пароль 10 раз, блокируется не именно айпи клиента, а внутренний
айпи фри - 192,168,0,х. Из-за этого получается, что блокируются тупо все - никто вообще не может из инета зайти на сайт.

[paradox]

Потому, если кто-то из клиентов вводит не правильно пароль 10 раз, блокируется не именно айпи клиента, а внутренний

что то я этой схемы никак не пойму
каким образом клиенты с веба взаимовсязаны с юзерами в локалке
что после блокировке на локальном вебсервере режиться и доступ в нет юзерам

[amort]

Потому, если кто-то из клиентов вводит не правильно пароль 10 раз, блокируется не именно айпи клиента, а внутренний

что то я этой схемы никак не пойму
каким образом клиенты с веба взаимовсязаны с юзерами в локалке
что после блокировке на локальном вебсервере режиться и доступ в нет юзерам

С юзерами в в локалке клиенты из веба никак не связаны. Веб-сервак видит не внешний айпи клиента, а внутрений(локальный) айпи фри, которая раздает инет всем. И после блокировки веб-сервер просто не принимает никакие http-пакеты с фри, потому снаружи никто не может попасть на сайт.

[paradox]

С юзерами в в локалке клиенты из веба никак не связаны. Веб-сервак видит не внешний айпи клиента, а внутрений(локальный) айпи фри, которая раздает инет всем. И после блокировки веб-сервер просто не принимает никакие http-пакеты с фри, потому снаружи никто не может попасть на сайт.

ну и пусть он себе там что то блокирует
его ж никто не трогает
юзеры то получают инет через сервер бсд который вообще никак не должен связан быть

[schizoid]

попробуйте использовать не rinetd , а средствами natd пробрасывать порт.
тогда апач будет видеть реальный ИП клиента.

[amort]

paradox, если ничем помочь не можешь, зачем тогда пишешь в эту тему???
schizoid - Спасибо. Попробую

[schizoid]

у меня аналогичное было с почтовиком, если порт пробрасывался rinetd , то почтовик видел, что все запросы идут с внутреннего Ипа шлюза, и соответственно блокировки основанные на проверке ИПов в почтовике не срабатывали.

[paradox]

я могу помочь когда точно понимаю схему
кто ж знал что у вас там все так плохо
все нормальные админы пробрасывают токо порт

но если вы уже разобрались
то гуд