0

通信に IP アドレスに依存するアプリケーションがあります (ドメイン名は単に機能しません。:(...)

その機能は、他のマシンのピアに接続し、信頼を確立した後にデータを送信することです。「信頼確立」フェーズでは、両者は将来の通信のために IP を交換します。どちらも 2 つの異なるファイアウォールの背後にあり、NATted されています。1 つは NAT 処理されたオフィス ネットワークにあり、もう 1 つはファイアウォールの背後で NAT 処理されたクラウドにあります。アプリケーションはそれぞれのプライベート IP を認識しており、データを転送するために (範囲 10.x.xxx.xxx のプライベート IP を使用して) 相互に接続しようとすると、それ (10.x.xxx.xxx 範囲) を交換します。不合格。接続は TCP で、ポート範囲はさまざまです。

とにかく、IP アドレス 10.x.xxx に対して開始されている接続があるかどうかを示すルール (ファイアウォール レベルまたはアプリケーションの外部の場所) を (今回だけ) ハードコーディングできるかどうかに興味があります。 xxx を 205.x.xxx.xxx にリダイレクトしますか?

4

2 に答える 2

1

10.xyz のようなプライベート IP アドレス範囲は、その性質上、プライベートです。エンドポイント間の各ノードにこれらを変換するためのルールが設定されていない限り、意味のある解決を行うことはできません。

変換はトリッキーです。使用する主なツールはすべて、静的変換 (ポート転送、たとえば特定のポートが特定の IP に転送される場合) に対応しています。これは 1 つの方法ですが、ハックな方法です (多くのポートを開き、ルーターを手続き的に更新し、おそらくマッピングを維持するためにある種のブローカー サーバーを用意する必要があります)。

または、VPN を介して分離されたネットワークを実行することもできます。これにより、相互に接続するために使用できる相互のプライベート IP がエンドポイントに与えられます。この新しいアドレスにバインドし、VPN を介して通信するだけです。これにより、インターネット上の通信が暗号化される可能性もあります。

その他の可能性として、トラバーサルを可能にする NAT/TCP パンチスルー テクニックを使用する方法がありますが、これらは実際には壊れたネットワーク トポロジへのパッチです (IPv6 を読んで、これを軽減する方法を確認してください)。

または、すべての接続をプロキシ経由でルーティングすることもできますが、これは VPN に比べて複雑になります.

ルールのハードコーディングに関する質問に答えるには、ここではポート フォワーディングが解決策です。明らかに、接続を受け入れるピアのルーター構成に依存しますが、このクライアントには、マシンに転送されるポート ターゲット ポートが必要です。これは明らかにあまりうまく拡張できず、実際には 1 つの接続のサーバー/クライアント アーキテクチャに移行しています!

ハードウェアによっては、一定範囲のポートを転送し (単一のポートを確立できない場合)、ポート転送を特定の着信接続 (外部 IP) に制限できる場合があります。

ポート フォワーディングに関する情報は、http://portforward.com/にあります。

于 2012-06-12T20:22:15.813 に答える
0

これは、VPN に求めるものとよく似ています。とにかく設定できることはありますか?基本的に、あなたとクラウドの間の Site-To-Site VPN は、「ああ、これはリモート ネットワーク上にある IP です。先に進んでリンク経由で接続してください」と言うでしょう。この種のソリューションはあなたの場合に機能しますか?

これらの行に沿った何か: http://i.msdn.microsoft.com/dynimg/IC589512.jpg

于 2012-06-12T20:14:49.607 に答える