Re: lug-bg: Веб зад firewall
- Subject: Re: lug-bg: Веб зад firewall
- From: Vesselin Markov <vm@xxxxxxxxxxxxxxx>
- Date: Sat, 18 Sep 2004 01:25:45 +0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Saturday 18 September 2004 12:35 am, Dimitar Katerinski wrote:
> antracit1@xxxxx wrote:
> > Имам мапина във локалната мрежа, на която е качен веб сървър с IP
> > 10.0.0.2 и firewall с ИП на eth1 10.0.0.1 и IP на eth0 А.Б.Ц.Д. Направил
> > съм правило
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
> > --to-destination 10.0.0.2
> > и всичко е ok, но когато друга машина от локалната мрежа подаде заявка
> > за веб сайта, DNS-a и връща IP A.B.C.D. Опитах със следното правило, ама
> > не стана
> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D -j
> > DNAT --to-destination 10.0.0.2
> >
> > Какво да правя?
>
> Здравей,
>
> Можеш да направиш две неща. Първото е да поработиш над DNS-а си, и да
> направиш така че, когато от 10.0.0.0/X мрежата се направи query, да се
> връща 10.0.0.2 като ip addr за този сайт, а иначе да се връща външното ти
> реално IP. tinydns, с който аз работя го може, за BIND не мога да ти кажа,
> но предполагам и той няма да има затруднения. Това е по-чистия вариант,
> защото ако правиш нещо с логовете от уев сървъра, там ще виждаш и IP-тата
> от LAN-a.
> Другия вариант е малко по груб. Опитай със следните iptables правила:
>
> iptables -t nat -A PREROUTING -i eth1 -s $LAN_NET -d $WWW_INET_IP -p tcp
> --dport 80 -j DNAT --to-destination 10.0.0.2 iptables -t nat -A POSTROUTING
> -o eth1 -d 10.0.0.2 -p tcp --dport 80 -j SNAT --to-source 10.0.0.1
>
> Недостатъка от горните две команди е, че всички заявки към уеб сървъра от
> вътрешната ти мрежа, ще се явяват с ip addr 10.0.0.1 в логовете на сървъра
> ти.
>
> Това е с две думи. Проблема е коментиран многократно в netfilter mail list,
> както и в iptables-tutorial.frozentux.net. Не смятам да го обяснявам, ако
> те интересува можеш да погледнеш туториала.
>
> Поздрави,
> Димитър
Вариант 1 не винаги е приложим - сайтовете могат да са подчинени на
IP зависимости и пр. Второто предложение още повече забърква "супата"
или "бозата" (кой както го предпочита). Този проблем обикновено се решава
като се пуснат 2 сървъра - един на ДМЗ и един за ЛАН усерите. Не е голямо
удоволствие, но дизайна който си избрал е неподходящ за теб както се види.
П.С. старай се малко повече като си решил да си анонимен - винаги ще се
намери някой да зяпа на неприлични места :)
В.
- --
:wq
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
iD8DBQFBS2RsmCN1eSWR9owRAvYyAKDXzQ4nIfowf0zGzDRSzXkrSeYx7wCg0+Vy
H9iFwiZuQW0mzxeiJJr4r+w=
=MlOI
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|