открыть SQL SErver наружу

shadow7256 · Post by **shadow7256** » 07 Jun 2004 14:45

Встала задача. Нужно открыть SQL Server 2000 наружу. Клиент из внешнего мира должен иметь доступ к базе данных напрямую (ну так надо, что поделать).

Имеется сервер с внешним IP адресом. SQL Server вроде слушает 1433 TCP порт. Будет ли достаточно в фаерволе создать conduit, который бы позволял обращатся к базе только определенному клиенту с определенным IP адресом или надо принять еще меры для усиления безопасности?

Siberian Cableman · Post by **Siberian Cableman** » 07 Jun 2004 15:35

А нельзя порт поменять на что-нибудь менее блестящее чем 1433?

GlebZ · Post by **GlebZ** » 07 Jun 2004 15:49

Siberian Cableman wrote:А нельзя порт поменять на что-нибудь менее блестящее чем 1433?

Монна. И, наверное, даже нунна

shadow7256 · Post by **shadow7256** » 07 Jun 2004 16:00

Siberian Cableman wrote:А нельзя порт поменять на что-нибудь менее блестящее чем 1433?

а не получится ли после этого так, что клиентское приложение перестанет видеть SQL Server? я использую DB library for C интерфейс для связи с базой.

Dmitry67 · Post by **Dmitry67** » 07 Jun 2004 16:19

Клиенту надо будет изменить порт в SQL client network utility

YellowMan · Post by **YellowMan** » 08 Jun 2004 10:52

И лучше бы файрволл натравить на МАС адрес а не на IP - спокойней будет

Fielder · Post by **Fielder** » 08 Jun 2004 13:44

YellowMan wrote:И лучше бы файрволл натравить на МАС адрес а не на ИП - спокойней будет

MAC адрес чего ?

shadow7256 · Post by **shadow7256** » 09 Jun 2004 00:05

что то не получается. Принес клиента домой, сетевик сделал в фаерволе кондуит который позволяет коннектится к TCP порту 1433 на сервере (ведь его слушает SQL Server на запросы так?) только моему IP адресу.
Запускаю клиента - ничего. Не может соединится...

Может как то хитро надо коннектится к сиквелу который на паблик IP сидит?

Siberian Cableman · Post by **Siberian Cableman** » 09 Jun 2004 00:14

что говорит telnet <server_ip> 1433 ?

shadow7256 · Post by **shadow7256** » 09 Jun 2004 02:01

после набора этой команды появляется connecting to server_ip и все...

Siberian Cableman · Post by **Siberian Cableman** » 09 Jun 2004 02:47

Вас не пускают

Либо не туда коннектeтись, либо не с того IP (Вы писали, что Ваш главный по серверам установил дырку в firewall, только для Вашего домашнего адреса, так может этот адрес возьми и сменись), либо это у Вас внутри форвардится не на тот(1433) порт.

Либо система Вам тонко показывает, что вся эта байда Вам не нужна

Тогда Вы идите пить пиво.

Dmitry67 · Post by **Dmitry67** » 09 Jun 2004 08:22

Siberian Cableman wrote:Либо система Вам тонко показывает, что вся эта байда Вам не нужна Тогда Вы идите пить пиво.

Это что, Миллиард дет до конца света ?

YellowMan · Post by **YellowMan** » 09 Jun 2004 10:17

Fielder wrote:
YellowMan wrote:И лучше бы файрволл натравить на МАС адрес а не на ИП - спокойней будет

MAC адрес чего ?

Подозреваю что клиента...

Fielder · Post by **Fielder** » 09 Jun 2004 11:36

YellowMan wrote:Подозреваю что клиента...

Тоесть клиент сидин на одном проводе с FW

круто

shadow7256 · Post by **shadow7256** » 09 Jun 2004 14:45

открыли доступ к порту 1433 всем (!). Все равно не соединяет. Смотрю на профайлер - нет даже намека на соединение с базой.

Где можно почитать про требования для установления соединения с сервером через паблик IP?

Гуру сиквела, ну где же вы :cry:

Может 137 порт (named pipes) тоже надо открыть?

Dmitry67 · Post by **Dmitry67** » 09 Jun 2004 14:51

А ругается сразу или долго молчит вначале ?

shadow7256 · Post by **shadow7256** » 09 Jun 2004 14:53

долго молчит вначале. Наверное пытается из зо всех сил установить соединение.

shadow7256 · Post by **shadow7256** » 09 Jun 2004 15:23

открыли 445 порт и все заработало. Вот так. Только единственное - занимает примерно минуту прежде чем установится соединение.

YellowMan · Post by **YellowMan** » 09 Jun 2004 17:42

Fielder wrote:Тоесть клиент сидин на одном проводе с FW
круто

Понятия не имею на чем там клиент сидит - подозреваю что и Вы тоже не имеете такого понятия.
МАС адрес вместе с IP адресом надежнее чем просто IP - хотя если Вы умеете на лету в пакете IP подделывать адрес то Вы сумеете и подделать МАС - хотя и ценой больших телодвижений

Fielder · Post by **Fielder** » 09 Jun 2004 18:01

YellowMan wrote:
:паин1: Понятия не имею на чем там клиент сидит - подозреваю что и Вы тоже не имеете такого понятия.
МАС адрес вместе с ИП адресом надежнее чем просто ИП - хотя если Вы умеете на лету в пакете ИП подделывать адрес то Вы сумеете и подделать МАС - хотя и ценой больших телодвижений

опс: Внешниы интерфейс FW видит всегда одни и теже МAC адреса,
обычно свича или рутера ведушего в Интернет, МAC адреса клиента он не может видеть.
Ето что бы закончить об етом разговор.

YellowMan · Post by **YellowMan** » 10 Jun 2004 11:35

Глупости Вы, уважаемый, говорите. Во первых, ни я не Вы не знаем как подключается клиент к серверу, через рутер, файрвол или просто модемом.
Во вторых вот мой домашний железный рутер, он же файрволл он же точка доступа для 802.11 от 3Сом отлично умеет транслировать внутренние МАС адреса наружу если его об этом попросить. IP будет один и то-же, а вот МАС адреса будут реальные от реальных интерфейсов.

Siberian Cableman · Post by **Siberian Cableman** » 10 Jun 2004 20:03

YellowMan wrote:Глупости Вы, уважаемый, говорите. Во первых, ни я не Вы не знаем как подключается клиент к серверу, через рутер, файрвол или просто модемом.
Во вторых вот мой домашний железный рутер, он же файрволл он же точка доступа для 802.11 от 3Сом отлично умеет транслировать внутренние МАС адреса наружу если его об этом попросить. IP будет один и то-же, а вот МАС адреса будут реальные от реальных интерфейсов.

Тут главное что бы и следующий роутер это умел

. Адресация в интернете все-таки по ip аддресам, а не по MAC

YellowMan · Post by **YellowMan** » 11 Jun 2004 10:26

А если бы ты вез патроны ? (с) х/ф Чапаев

Я как-бы клоню к тому что если такая возможность есть то грех ею не воспользоваться. Ну а если нет - то на нет и суда нет