RUVATA

Всем доброго времени суток...
Некая локальная сеть, имеет шлюз в виде Windows XP Professional.
Интернет на данный момент раздает через "Общее подключение к интернету" (средствами IIS насколько я понял).
Так же обкатывался вариант с NAT, при помощи netsh (оснастка для управления службой (Routing and Remote Access).
Интернет раздается и так и так, это по большому счету, к делу отношения не имеет.
На одном из компьютеров локальной сети, среди прочего добра, на 22-ом порту болтается интересующий нас сервис, этакий API для FTP (пожалуйста не спрашивайте меня - зачем?)
Задача наша, ясна как день - нам необходимо открыть этот сервис "наружу" в интернет.

Изначально я побежал в строну netsh, во-первых это работа через консоль (ненавижу искать галочки на вкладочках ), во-вторых куча всего якобы можно настроить; как выяснилось потом, полноценно сия хрень работает исключительно в системах семейства Server, там еще и оснасточка спецовая имеется.
и так...
NAT - netsh routing ip nat и иже с ним
Проброс порта при помощи этакого netsh interface ip portproxy add v4tov4
И все даже заработало, правда эйфория быстро развеялась, потому как без видимых причин время от времени шлюз переставал давать интернет в массы, при этом журнал событий был чист как никогда, и сия проблема не решалась ни перезапуском Routing and Remote Access, ни переподключением на адаптере а только перезагрузкой шлюза! и еще пара мистических моментов и непредсказуемого поведения, ну да и бог с ним.
для чистоты эксперимента, сносм к чертям винду и ставим по новой.
На этот раз интернет раздаем при помощи штатного средства, любезно предоставляемого в свойствах подключения, "Сделать доступным подключение к интернет пользователям локальной сети" (Это как IIS, только не IIS, я в общем так и не понял, что это за балалайка и как она играет).
Оценил принципиальный подход MS к обязательному ip-адаптера в 192.168.0.1, так поставили перед фактом, мол "будет так" учитывая, что изначально у нас сетка 10.0.0.0-10.0.0.255 переделываем сетку
Немного тандрического секса с Брандмауэром, "есстесно", явным образом открываем 22-ой порт, через добавление его в исключения. Более того - дуем в gpedit.msc, долго и нудно доводим до экстаза Group Policy: вкл-выкл, вкл-выкл, туда-сюда; На уровне Параметров компьютера, так же добавим исключение 22:tcp:*:enable "прямо в сердце" этой проклятой винде.
Вооружаемся iperf.exe и "куда без него telnet", тестим
снаружи (т.е. из интернета), все БЭНЧ! порт открыт, iperf устанавливает соединения с rank 5 (это оч.хорошо).
Читаем the Fucking Manual, откуда узнаем: по каким кнопкам, на какие вкладки, куда галки.
Запаслись едой на неделю и в путь: Свойства Сетового подключения ПКМ => тык в Свойства => вкладка Дополнительно => Брандмауэр Windows тык в кнопку Параметры => здесь опять вкладка Дополнительно => в списке тык в нужное подключение => тык в кнопку Параметры (где-то уже было )
Ура! Перед нами предстает занимательная балалайка аля "Выберите службы в Вашей сети доступ к которым необходимо предоставить пользователям интернета".
Круть! незамедлительно добавить - имя службы:"АЛИЛУЯ", Внешний порт: 22, Внутренний порт: 22, Протокол:TCP, внутренний ip адрес: 192.168.0.2
И-и-и-и-и-и ! Барабанная дробь, перезагрузка, ну-же, давай... Хрена-с-два!
Ничего никуда не подбрасывается, снаружи 22-ой порт вообще видится как закрытый, telnet дает качественный отлуп, ну про iperf даже говорить не стоит он тупо молчит. Бляха муха, ну ведь все сделали "по науке", никаких антивирусов, фаерволов (Брандмауэр не считается так как его средствами это все реализовывается).
Ладно... отключаем галочку или вообще удаляем эту на шу запись "АЛИЛУЯ",
Опять проводим тест - порт открыт, полет нормальный.
Возвращаемся к телеге с netsh interface ip portproxy, делаем проброс. Все работает вроде бы нормально. Интернет бежит сквозь IIS, порты форвардятся RRAS-ом.
О горе! опять... чрез какое-то время заонекктиться на нашу службу становится невозможно. А все почему ?
ДА ПОТОМУ ЧТО ДОЛБАННЫЕ ОТКРЫТЫЕ ЧЕРЕЗ RRAS НА 22 ПОРТУ СОКЕТЫ НА ШЛЮЗЕ НЕ ЗАКРЫВАЮТСЯ, И ВИСЯТ СЕБЕ В СОСТОЯНИИ CLOSE_WAIT.

Я не хочу верить что такой тривиальной задаче нет решения средствами Windows XP Pro, но видимо его нет, вернее что-то есть но это в все работает через жопу и подпирается костылями.