Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа 213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял всё по новой. Но вот не могу понять как это было сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую сетевуху и от неё пробросить кабель к внешнему порту, но с позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться. Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин, я хз ... Спасибо.
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это былоhttp://ru.wikipedia.org/wiki/Трансляция порт-адрес
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.Боюсь Вы долго будете разбираться...
>>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>>всё по новой. Но вот не могу понять как это было
>>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>>сетевуху и от неё пробросить кабель к внешнему порту, но с
>>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>>я хз ... Спасибо.А теперь с чувством, толком и расстановкой опишите что и как было.
Веб сервер имел только одну сетевую карту? Как осуществлялся выход в интернет?
>А теперь с чувством, толком и расстановкой опишите что и как было.
>Веб сервер имел только одну сетевую карту? Как осуществлялся выход в интернет?Да, на вебе одна сетевая карта, в настройках сетевого подключения прописано два IP: внутренний и внешний. И как-то работало. Вот схема сети:
http://img230.imageshack.us/img230/601/schemaao9.png
>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>Боюсь Вы долго будете разбираться...У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он отличен от IP прокси-сервера, через который выходит в инет вся сеть. Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из интернета ?
>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>Боюсь Вы долго будете разбираться...
>
>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>интернета ?man route
>>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>>Боюсь Вы долго будете разбираться...
>>
>>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>>интернета ?
>
>man route200 строк текста на английском... а более дельным советом не поделитесь ?
>>http://ru.wikipedia.org/wiki/Трансляция порт-адрес
>>Боюсь Вы долго будете разбираться...
>
>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>интернета ?Повесить реальный адрес веб-сервера на интерфейс прокси-сервера и организовать проброс портов во внутрь. Читайте ссылку на вики.
>>У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он
>>отличен от IP прокси-сервера, через который выходит в инет вся сеть.
>>Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из
>>интернета ?
>
>Повесить реальный адрес веб-сервера на интерфейс прокси-сервера и организовать проброс портов во
>внутрь. Читайте ссылку на вики.Да, наверное можно и так, не спорю. Но ведь как-то работало по описанной мной схеме ! :(
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это было
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP 213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется даже внутри сети :(
>Да, наверное можно и так, не спорю. Но ведь как-то работало по
>описанной мной схеме ! :(Именно так и работало.
>Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP
>213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется
>даже внутри сети :(Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.
Или другого, обладающими нужными знаниями.
>
>Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.Ехх, ищем ... нету его, или номер сменил :(
>>
>>Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал.
>
>Ехх, ищем ... нету его, или номер сменил :(Про man route была неудачная шутка...
На сервере с FreeBSD вероятно используется связка ipfw + squid + natd. Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У веб сервера внутри сети должен быть только внутренний IP. На шлюзе с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида:
redirect_port tcp внутренний_IP_вебсервера:80 80
Она означает, что все данные поступающие на 80 порт через сетевую карту с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт.
>Про man route была неудачная шутка...
>
>На сервере с FreeBSD вероятно используется связка ipfw + squid + natd.
>Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У
>веб сервера внутри сети должен быть только внутренний IP. На шлюзе
>с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида:
>redirect_port tcp внутренний_IP_вебсервера:80 80
>Она означает, что все данные поступающие на 80 порт через сетевую карту
>с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт.Вот я типа того и сделал, только с помощью pf :)
>Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было
>прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа
>213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре
>с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял
>всё по новой. Но вот не могу понять как это было
>сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую
>сетевуху и от неё пробросить кабель к внешнему порту, но с
>позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться.
>Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин,
>я хз ... Спасибо.насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е. сервер на фре должен содержать три сетевых интерфеса - в инет, в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу.
>насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е.
>сервер на фре должен содержать три сетевых интерфеса - в инет,
>в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны
>пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу.Насколько мне известно, раньше DMZ зоны не было, как-то по другому организовано было.
Всё, разобрался - сделал переадресацию портов в конфиге pf:webserver = "192.168.0.4"
webports = "{ http, https }"rdr on $ext_if proto tcp from any to any port $webports -> $webserver
#... и в секции после block in all добавил:
pass in on $ext_if proto tcp from any to $webserver port 80 flags S/SA synproxy state
Реальный IP на Вебе вообще убрал, оставил только внутренний. Работает. Но всё равно интересно, как же до этого функционировало ... :)
