Re: przekierowanie portu
> otwieram sobie komunikacje na porcie 2500
> iptables -A INPUT --dport 2500 -m state --state NEW -j ACCEPT
> pozniej robie przekierowanie
> iptables -t nat -A PREROUTING -d $MOJ_IP --dport 2500 -j DNAT --to 10.10.0.203:1433
Tez tego probowalem ale rzeczywiscie mysql jest odporny.
Ale i tak z powodow bezpieczenstwa zrobilem to w inny sposob : tunelem ssh
Przyklad
ingredjencje:
1) Winda z zewnatrz z kilentem np.ODBC lub czyms innym
1a) firewall
2) Linux wewnatrz z sewerami mysql i ssh.
3) program putty (to na winde)
4) para kluczy wygenerowanych NA FIREWALLU przez ssh-keygen z czego
identity kopiujesz na winde.
I tak (wlasciwie konfiguracja sprowadza sie tylko do Windowsow - jezeli na firewallu i serwerze
jest wszystko przygotowane)
a) odpalasz program putty w ktorym konfigurujesz jako host : ip firewalla
b) usera do auto logowania : user na firewallu ktory bedzie mogl uruchomic ssh i zamapowac port
c) klucz autoryzacji : "identity"
d) nastepnie w polu zdalna komenda piszesz:
ssh -C -g -L portmapujacy(np. 3316):iphosta w sieci wewnetrznej:portmapowany(pewnie 3306) localhost
(slownie "localhost")
(jezeli zmieniles nazwe klucza "identity" na np. "identyfikator" to musisz podac do niego sciezke po opcji -i !)
e) w ustawieniach tunelowania (wg/ powyzszego przykladu):
source port : 3316
destination : "localhost:3306" <- tak jak napisalem ;-)))
Pomysl jeszcze ew. dodatkowymi opcjami np. kompresje lub inny algorytm szyfrowania.
I juz.
Chodzi jak malina. Dodatkowo uzywam zonealarma zeby zablokowac caly ruch polaczen do windy
oraz programu plink, który umozliwia odpalenie sesji ssh z lini komend.
Marek.
Reply to: