Bankir.Ru
10 декабря, суббота 13:53

Объявление

Свернуть
Пока нет объявлений.

Инверсионный Клиент-банк и доступ к нему из Интернета

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Инверсионный Клиент-банк и доступ к нему из Интернета

    Здраствуйте Алл.

    Вот мне интересно как вы сделали доступ к Серверу системы Клиент-банк через инет если сам сервак находиться в локальной сети а в качестве маршрутизатора стоит линуховая машина?

    что-то у меня совсем ни чего не получаеться программным путем настроить фаерволл

    вот настройки фаерволла

    INET_IP="х.х.х.х"
    INET_IFACE="eth1"

    LAN_IP="192.168.1.1"
    LAN_IFACE="eth0"
    LAN_IP_RANGE="192.168.1.0/24"

    CBS_IP="192.168.1.240"
    CBS_PORT="3274"

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -I PREROUTING -p tcp -d $INET_IP --dport $CBS_PORT -j DNAT --to $CBS_IP:$CBS_PORT
    iptables -t nat -I POSTROUTING -p tcp -s $CBS_IP -j SNAT --to $INET_IP
    iptables -I FORWARD -p tcp -i $INET_IFACE -o $LAN_IFACE -d $CBS_IP --dport $CBS_PORT -j ACCEPT
    iptables -I FORWARD -p tcp -i $LAN_IFACE -o $INET_IFACE -s $CBS_IP -j ACCEPT
    поправте меня если я не прав...

  • #2
    Black

    Вообще-то (и я говорил об этом разработчикам) Инверсионный сервер клиент-банка не совсем корректно предлагается (ими, разрабочиками) размещать внутри ЛВС (недостаток очевиден - в случае взлома этого сервера становится доступной вся ЛВС).
    Более правильный вариант размещения сервера предлагается BIFIT http://www.bifit.com в продукте iBank 2
    Правильная схема предполагает, что сервер должен размещаться в "вырожденной" DMZ.

    С Инверсионным сервером, к сожалению, подобной схемы не построить, т.к. именно этот сервер сам лезет на сервер АБС.

    Я бы предложил разместить сервер Клиент-Банк в отдельном сегменте (отдельный сетевой интерфейс на файерволе, если это у Вас вообще возможно) и в правилах маршрутизации разрешить пропускать пакеты только между серверами АБС и Клиент-Банк.
    С Линухом не подскажу , как сделать на Фре 5.0 могу примерную схемку набросать...
    Рад бы в Рай, да... реаниматоры не пускают!

    Комментарий


    • #3
      да он требует полноценный тунель то есть
      при настройке роутера пребуется трансляция адресов в обе стороны по порту 3274 иначе не работает

      Комментарий


      • #4
        Genmichael

        то есть одних правил iptables недостаточно?... а что еще необходимо сделать?
        поправте меня если я не прав...

        Комментарий


        • #5
          Black
          Ну получается, что в одну сторону ты пропустил пакеты по 3274
          А обратно?
          В это-то похоже и вся фигня...

          А вообще, в Инверсии обычно подобные проблемы быстро решают, не пробовал им звонить?
          Рад бы в Рай, да... реаниматоры не пускают!

          Комментарий


          • #6
            у нас сервак имеет реальный IP, но стоит за файерволом, который пропускает только пакеты на порт 3274

            Комментарий


            • #7
              А на машине $CBS_IP в таблице маршрутизации маршрут default (0.0.0.0) указывает на $LAN_IP или куда?

              Комментарий


              • #8
                Dr.Shooter
                я в этом SCO Unix'е не селен но я нашел файлик /etc/inetd/config так там есть строчка route add default 192.168.1.1

                или может есть еще что-нить?
                поправте меня если я не прав...

                Комментарий


                • #9
                  Когда была стояла шестерка на шлюзе (RH), а CBS в локалке работало так:
                  /sbin/ipchains -A forward -p tcp -s 192.168.x.x ! 3274:3274 -j DENY
                  /sbin/ipchains -A forward -p tcp -s 192.168.x.x -j MASQ
                  /usr/sbin/ipmasqadm portfw -f
                  /usr/sbin/ipmasqadm portfw -a -P tcp -L y.y.y.y 3274 -R y.y.y.y 3274

                  Комментарий


                  • #10
                    >Ну получается, что в одну сторону ты пропустил пакеты по 3274
                    >А обратно?

                    а обратно маскарад

                    >В это-то похоже и вся фигня...

                    никакой фигни

                    PS вообще в поддержку с такими вопросами обращаются.. решений несколько существует

                    Комментарий


                    • #11
                      Прошу прощения что давно не отвечал... запарочка была

                      хочу сказать всем спасибо за помощь!!! у меня все получилось... пришлось еще пару раз перечитать всякого рода документацию и сделать все тоже самое только уже с использованием действия LOG
                      вот что у меня получилось

                      iptables -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport $CBS_PORT -j LOG --log-prefix "from inet to cbs "
                      iptables -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport $CBS_PORT -j DNAT --to-destination $CBS_IP:$CBS_PORT

                      iptables -A FORWARD -p tcp -d $CBS_IP --dport $CBS_PORT -j LOG --log-prefix "forward to cbs "
                      iptables -A FORWARD -p tcp -d $CBS_IP --dport $CBS_PORT -j ACCEPT

                      iptables -A FORWARD -p tcp -s $CBS_IP -j LOG --log-prefix "forward from cbs"
                      iptables -A FORWARD -p tcp -s $CBS_IP -j ACCEPT

                      правда все это работает только из вне... осталось только из локалки через сервак настроить но это уже дело техники

                      поправте меня если я не прав...

                      Комментарий


                      • #12
                        Привет всем Вам Уважаемые!
                        А вот я сделал так:
                        Одной ногой CBS стоит стоит в ЛВС, а другой в DMZ ( те в ем 2 сетевухи) из DMZ от фаревола к SBS разрешен доступ тольколо по 3274 порту. Обратно - полный. Все живет и здраствует. Раутига между сетевыми картами естествввенно нет. Геморорою пока тоже

                        Комментарий


                        • #13
                          Вариантов куча
                          это так... все выкручиваемся, как можем
                          Но принцип все равно неверный...
                          CBS лезет на сервер АБС...
                          А должно быть наоброт!
                          Потому, как в грамотно построенной ЛВС все попытки залезть снаружи внутрь должны пресекаться...
                          Рад бы в Рай, да... реаниматоры не пускают!

                          Комментарий


                          • #14
                            Уважаемые коллеги!
                            У нас АБС - Инверсия 21век, а клиент-банк и интернет-банк от РФК.
                            Вообще-то мы приладили шлюз и все делаем автоматом и всем довольны.
                            Но в РфК-шных системах развитая ситема возможности ручного отзыва платежек
                            по инициативе как клиента, так и отказы операторов (типа-неверно номер договора указали и т.п.) .
                            Конечно большинство ошибок (90%) режет автоматом сам Клиен- Интернет- банк, но что делать с тем, что заметили операторы или спохватился клиент -
                            с ручными отказами ?
                            Что платеж отозван оператором, или отзыв запрешен, КБ РФК посылает клиенту статус.

                            Поэтому сейчас у нас получается что операционисты удаляют платежи в случае ручных отказов из опердня и еще в КБ должны послать клиенту статус обработки.
                            Автоматизировать процесс не получается - документ может пройти регистрацию в опердне не сразу, а через "отложенные", а в 21 веке
                            нет сквозного ID #$% для отложенных и зарегистрированных!

                            Как у Вас в родном Инверсионном КБ - если документ удаляет операционист из
                            опердня клиенту статус какой-нибудь идет или нет ? Откуда берется в этом случае причина отказа и как ее выбирает операционист ?

                            Комментарий

                            Пользователи, просматривающие эту тему

                            Свернуть

                            Присутствует 1. Участников: 0, гостей: 1.

                            Обработка...
                            X