URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3618
[ Назад ]

Исходное сообщение
"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"

Отправлено Rider_J , 17-Янв-08 12:51 
Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа 213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял всё по новой. Но вот не могу понять как это было сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую сетевуху и от неё пробросить кабель к внешнему порту, но с позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться. Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин, я хз ... Спасибо.

Содержание

Сообщения в этом обсуждении
"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено idle , 17-Янв-08 16:41 
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это было

http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.

Боюсь Вы долго будете разбираться...


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Mr.Y , 17-Янв-08 16:51 
>>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>>всё по новой. Но вот не могу понять как это было
>>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>>сетевуху и от неё пробросить кабель к внешнему порту, но с
>>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>>я хз ... Спасибо.

А теперь с чувством, толком и расстановкой опишите что и как было.
Веб сервер имел только одну сетевую карту? Как осуществлялся выход в интернет?


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:19 
>А теперь с чувством, толком и расстановкой опишите что и как было.
>Веб сервер имел только одну сетевую карту? Как осуществлялся выход в интернет?

Да, на вебе одна сетевая карта, в настройках сетевого подключения прописано два IP: внутренний и внешний. И как-то работало. Вот схема сети:

http://img230.imageshack.us/img230/601/schemaao9.png



"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:27 
>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>Боюсь Вы долго будете разбираться...

У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он отличен от IP прокси-сервера, через который выходит в инет вся сеть. Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из интернета ?


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Zhenia , 17-Янв-08 17:33 
>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>Боюсь Вы долго будете разбираться...
>
>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>интернета ?

man route


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:41 
>>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>>Боюсь Вы долго будете разбираться...
>>
>>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>>интернета ?
>
>man route

200 строк текста на английском... а более дельным советом не поделитесь ?


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено idle , 17-Янв-08 17:33 
>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>Боюсь Вы долго будете разбираться...
>
>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>интернета ?

Повесить реальный адрес веб-сервера на интерфейс прокси-сервера и организовать проброс портов во внутрь. Читайте ссылку на вики.



"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:38 
>>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>>интернета ?
>
>Повесить реальный адрес веб-сервера на интерфейс прокси-сервера и организовать проброс портов во
>внутрь. Читайте ссылку на вики.

Да, наверное можно и так, не спорю. Но ведь как-то работало по описанной мной схеме ! :(


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:47 
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это было
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.

Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP 213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется даже внутри сети :(


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено idle , 17-Янв-08 17:57 
>Да, наверное можно и так, не спорю. Но ведь как-то работало по
>описанной мной схеме ! :(

Именно так и работало.

>Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP
>213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется
>даже внутри сети :(

Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.
Или другого, обладающими нужными знаниями.


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 17-Янв-08 17:59 
>
>Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.

Ехх, ищем ... нету его, или номер сменил :(


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Mr.Y , 18-Янв-08 08:48 
>>
>>Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.
>
>Ехх, ищем ... нету его, или номер сменил :(

Про man route была неудачная шутка...

На сервере с FreeBSD вероятно используется связка ipfw + squid + natd. Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У веб сервера внутри сети должен быть только внутренний IP. На шлюзе с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида:
redirect_port tcp внутренний_IP_вебсервера:80 80
Она означает, что все данные поступающие на 80 порт через сетевую карту с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт.


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 21-Янв-08 10:20 
>Про man route была неудачная шутка...
>
>На сервере с FreeBSD вероятно используется связка ipfw + squid + natd.
>Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У
>веб сервера внутри сети должен быть только внутренний IP. На шлюзе
>с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида:
>redirect_port tcp внутренний_IP_вебсервера:80 80
>Она означает, что все данные поступающие на 80 порт через сетевую карту
>с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт.

Вот я типа того и сделал, только с помощью pf :)


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено BSDuser , 20-Янв-08 13:20 
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это было
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.

насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е. сервер на фре должен содержать три сетевых интерфеса - в инет, в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу.


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 21-Янв-08 10:20 
>насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е.
>сервер на фре должен содержать три сетевых интерфеса - в инет,
>в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны
>пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу.

Насколько мне известно, раньше DMZ зоны не было, как-то по другому организовано было.


"Как спрятать веб-сервер на WS2003 за прокси с FreeBSD 6.2 ?"
Отправлено Rider_J , 21-Янв-08 10:21 
Всё, разобрался - сделал переадресацию портов в конфиге pf:

webserver = "192.168.0.4"
webports = "{ http, https }"

rdr on $ext_if proto tcp from any to any port $webports -> $webserver

#... и в секции после block in all добавил:

pass in on $ext_if proto tcp from any to $webserver port 80 flags S/SA synproxy state

Реальный IP на Вебе вообще убрал, оставил только внутренний. Работает. Но всё равно интересно, как же до этого функционировало ... :)