URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89043
[ Назад ]

Исходное сообщение
"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено rex111 , 02-Июн-10 12:18

Всем добрый день!
Имею следующую проблему
1 Шлюз(Centos5.3) с веб
2 Веб ubunt-server 9.04(c апачем 2.2) находится в локалке.
нужно пробросить порт на ubuntu web server который в локалке
НО что бы веб сервер на шлюзе тоже остался виден
прописываю в iptables на шлюзе
-A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination ip.ip.ip.ip:80
-A FORWARD -s ip.ip.ip.ip -p tcp -m tcp --dport 80 -j ACCEPT
получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза
Может можно как то в iptables маркер по доменному имени сделать?
Заранее благодарен за ответ!

Содержание

Банально проброс порта в локалку но что бы веб-шлюз работал,Pahanivo, 12:36 , 02-Июн-10
- Банально проброс порта в локалку но что бы веб-шлюз работал,rex111, 12:43 , 02-Июн-10
  - Банально проброс порта в локалку но что бы веб-шлюз работал,Pahanivo, 13:13 , 02-Июн-10
    - Банально проброс порта в локалку но что бы веб-шлюз работал,freebsd, 13:22 , 02-Июн-10
  - Банально проброс порта в локалку но что бы веб-шлюз работал,Andrey Mitrofanov, 13:23 , 02-Июн-10
    - Банально проброс порта в локалку но что бы веб-шлюз работал,Andrey Mitrofanov, 13:43 , 02-Июн-10
Банально проброс порта в локалку но что бы веб-шлюз работал,KobaLTD., 14:35 , 03-Июн-10

Сообщения в этом обсуждении

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено Pahanivo , 02-Июн-10 12:36

>получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза
>Может можно как то в iptables маркер по доменному имени сделать?
можно для начала изучить модель ISO/OSI и понять, какую ахинею городишь ))

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено rex111 , 02-Июн-10 12:43

>>получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза
>>Может можно как то в iptables маркер по доменному имени сделать?
>
>можно для начала изучить модель ISO/OSI и понять, какую ахинею городишь ))
>
Всё просто: в локальной сети подняли веб-сервер и захотели выставить его наружу.
При этом на компе, который выступает шлюзом в инет для этой локальной сети, тоже работает веб сервер.
(если б у меня был ещё один внешний ip проблемы бы не составило но внешний ip только один)
Вот и получается что нужно что б и в локалке вебсервер работал и на шлюзе тоже работал.

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено Pahanivo , 02-Июн-10 13:13

>[оверквотинг удален]
>
>Всё просто: в локальной сети подняли веб-сервер и захотели выставить его наружу.
>
>При этом на компе, который выступает шлюзом в инет для этой
>локальной сети, тоже работает веб сервер.
>(если б у меня был ещё один внешний ip проблемы бы не
>составило но внешний ip только один)
>
>Вот и получается что нужно что б и в локалке вебсервер работал
>и на шлюзе тоже работал.
1) айчтитипи прокси
2) айчтитипи фронт-енд
3) использовать альтернативные порты совместно с редиректом
4) айпитейблес тут некместу

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено freebsd , 02-Июн-10 13:22

>[оверквотинг удален]
>>(если б у меня был ещё один внешний ip проблемы бы не
>>составило но внешний ip только один)
>>
>>Вот и получается что нужно что б и в локалке вебсервер работал
>>и на шлюзе тоже работал.
>
>1) айчтитипи прокси
>2) айчтитипи фронт-енд
>3) использовать альтернативные порты совместно с редиректом
>4) айпитейблес тут некместу
Самое простое повесить на сервере http на другой порт наример на 89

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено Andrey Mitrofanov , 02-Июн-10 13:23

>Вот и получается что нужно что б и в локалке вебсервер работал
>и на шлюзе тоже работал.
Если _сильно надо iptables-ом -- входить/слушать снаружи на разные порты.
Но http://se.rv.er:port/ "некрасиво".
Более другой вариант - разделение на уровне http, то есть в слушающем снаружи веб-сервере.
В одном VirtualHost-е "отдавать" локальный сервис, в другом сделать ProxyPass -- форавидить на внутренний сервер. Варианты - nginx, apache. Кто-то даже squid примерно в таком режиме использует (реверс-прокси?), но это не совсем то же самое (не веб-сервер и сложнее).
И в том, и в другом варианте остаётся вопрос безопасности, решаемый обычно вынесением веб-серверов из локалки в DMZ и запретом соединений от них в локалку.
~~http://www.opennet.me/openforum/vsluhforumID8/6866.html

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено Andrey Mitrofanov , 02-Июн-10 13:43

>вопрос безопасности, решаемый обычно вынесением веб-серверов из локалки в DMZ и запретом соединений от них в локалку.
Гм, почитал, думаю надо как-нибудь "решение которого обычно начинают с вынесения". Потому как это не всё :( решение проблемы, и, более того, решение в этом вопросе -- не конкретное действие, а процесс... Типа, нон-стоп.

"Банально проброс порта в локалку но что бы веб-шлюз работал"
Отправлено KobaLTD. , 03-Июн-10 14:35

>[оверквотинг удален]
>-A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination ip.ip.ip.ip:80
>
>-A FORWARD -s ip.ip.ip.ip -p tcp -m tcp --dport 80 -j ACCEPT
>
>
>получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза
>
>Может можно как то в iptables маркер по доменному имени сделать?
>
>Заранее благодарен за ответ!
такое не возможно - подумайте немного и ответь себе на вопрос "как файрвол должен догаться что Вася, стучать на 80 порт лезет на Сентос, а Петя стучать на 80 порт лезет на Убунту?" - модуль "телепатии" есчо никто не придумал. Ставьте задачу коректней тогда и будет решение.