s.k. 11 Geschrieben 5. März 2006 Melden Teilen Geschrieben 5. März 2006 - Fortsetzung - Host B empfängt den Traffic und stellt fest, dass die Ziel-IP im Layer 3-Header seine eigene ist. Er inspiziert daraufhin auch Layer 4 und übergibt die Nutzdaten an das Janaserver-Extragateway, welches auf Port 8001 lauscht. Anders als ein HTTP-Proxy interpretiert dieses die Nutzdaten jedoch nicht! Völlig unabhängig vom Inhalt verpackt es die Daten nun (entsprechend den Vorgaben in der Extragateway-Definition) in ein neues IP-Paket und dann in einen neuen Ethernet-Frame. Das sieht dann (vereinfacht) so aus: ______________________________________________ | Ziel-Hardwareadresse = Hardwareadresse von Host C | Quell-Hardwareadresse = Hardwareadresse von Host B ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ | Ziel-IP-Adresse = vordefinierte Ziel-IP-Adresse (hier von Host C) | Quell-IP-Adresse = IP-Adresse von Host B ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ | Transport-Protokoll: TCP | Quellport = dynamisch, > 1024 | Zielport = vorgebener Port des Zieles (hier: 8000) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ | Anwendungsprotokoll: ESTP ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fassen wir also zusammen: 1. Das Extragateway arbeitet _nicht_ auf Anwendungsprotokollebene. Was an Nutzdaten übermittelt wird, ist ihm egal. Die Nutzdaten werden durch das Extragategateway lediglich "umverpackt"/neu adressiert und zwar nach einem zuvor definierten Regelwerk. Auch die Absender-IP-Adresse wird dabei geändert. Aus Sicht des empfangenden Servers scheint der Janaserver der Client zu sein. 2. Das Ziel eines Extragateways steht fest (IP-Adresse oder DNS-Name). Für jedes unterschiedliche Ziel muss ein separates Extragateway definiert werden! Deshalb kann man in Agenda auch mehrere Ports angeben --> für jeden möglichen Elsterserver muss ein gesondertes Extragateway auf einem anderen "lokalen Port" angelegt werden. 3. Anders als bei Verwendung eines Routers muss der Client das Extragateway mit dessen IP-Adresse und Port als Ziel ansprechen. Dies kann erreicht werden, indem in der Anwendung der Janaserver explizit als Ziel angegeben wird. Wenn dies nicht möglich ist, die Anwendung jedoch vor der Kontaktaufnahme mit dem Server eine DNS-Auflösung startet, kann man sich behelfen, indem man die Namensauflösung manipuliert (Umbiegen auf die IP-Adresse des Janaservers). Ich hoffe, die Unterschiede zu einem Router und einem ALG (insbesondere einem HTTP-Proxy) sind durch meine Ausführungen verständlich geworden. Weshalb ist dies nun eine meiner Lieblingsfunktionen in Jana? Schlicht deshalb, weil man damit sehr einfach Traffic umbiegen kann. Das kann man z.B. vorübergehend bei der Migration von Serverdiensten auf andere Hardware gebrauchen (um den Produktivbetrieb so kurz wie möglich zu stören). Sicherlich gibt es dafür bessere Tools. Janaserver beinhaltet aber eben auch noch andere Dienste, die man ab und an nur vorübergehend benötigt (z.B. einen FTP-Server um Dateien zu übertragen, wenn kein SMB zur Verfügung steht oder einen IMAP-Server um Mails "zwischenzulagern"). Nicht zuletzt enthält Jana viele Schnittstellen, in die man z.B. Skripte einbinden kann. So gesehen ist der Janaserver also u.a. _auch_ eine nützliche Toolbox für (vorübergehende) Spezialaufgaben. Gruß Steffen Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. März 2006 Autor Melden Teilen Geschrieben 8. März 2006 ISA 2000 so viel schlechter als ISA 2004 ??? Habe gerade ne Private Nachricht bekommen. Da stand das drin : Hallo cebo, ... Ich bin selbst Agenda Anwender und mir konnte der IT-Service bei Fragen zum ISA Server 2004 sehr nützliche Tipps geben. Na ja der Tipp den ISA 2000 zu deinstallieren war mit Sicherheit nur ein Hinweis auf die Sicherheit. In einen Schweizer Käse zusätzlich Löcher mit Port Regeln zu bohren macht nicht wirklich Sinn. In Punkto Sicherheit ist nicht mit dem ISA 2004 zu vergleichen. Schöne Grüße ... Muss ich mir jetzt Sorgen machen ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.