Re: lug-bg: Веб зад firewall
- Subject: Re: lug-bg: Веб зад firewall
- From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
- Date: Sat, 18 Sep 2004 12:11:33 +0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
antracit1@xxxxx wrote:
| Имам мапина във локалната мрежа, на която е качен веб сървър с IP
| 10.0.0.2 и firewall с ИП на eth1 10.0.0.1 и IP на eth0 А.Б.Ц.Д.
| Направил съм правило iptables -t nat -A PREROUTING -i eth0 -p tcp
| --dport 80 -j DNAT --to-destination 10.0.0.2 и всичко е ok, но
| когато друга машина от локалната мрежа подаде заявка за веб сайта,
| DNS-a и връща IP A.B.C.D. Опитах със следното правило, ама не стана
| iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D
| -j DNAT --to-destination 10.0.0.2
|
| Какво да правя?
Така, първо да видим дали правилно съм те разбрал. Ти искаш web
сървър, който е в локалната ти мрежа за частно ползване да се вижда от
публичния интернет чрез DNAT премаршрутизация. Първо да те поздравя за
решението ти. Да, това е една добра схема. Второ, ще се опитам да ти
покажа начин за решаване на проблема.
Малко анализ на ситуацията:
- --> Когато машина от сегмента 10.0.0.0/X (очаквам при теб X да е
по-малко от 30) иницира сесия към А.Б.Ц.Д се получава следния ефект.
Заявката отива до шлюза (предполагам, че това е 10.0.0.1). Там обаче
няма правило, което да удовлетвори DNAT схемата, защото се DNAT-ват
пакети, които идват на eth0.
Едно от възможните решения почива на функционалността "view" в BIND.
При тази функционалност ти можеш да даваш отговори на DNS заявки в
зависимост от това кой пита. Очевидно се пита по пълно квалифицирано
име на хост, а не по IP адрес. Тогава DNS решението напълно те
удовлетворява.
Повече за "view" можеш да прочетеш в документацията на BIND, ако не
можеш да я намериш при теб в /usr/share/doc, ето ти едно нейно
местонахождение в web (с препратка към функционалността "view"):
http://www.lcpe.uni-sofia.bg/linuxdoc/BIND9/Bv9ARM.ch06.html#AEN3080
Ако срешнеш проблеми при изпълнението, няма никакви проблеми да
попиташ тук.
~ Поздрави и пожелания за успех
~ Весо
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFBS/vF+48lZPXaa+MRApZnAJwPFZgjoyUnFRaTJBDlae4s/x1JzQCgxNcx
DjYvCgjVzXkufDbLGmbMZCo=
=9n4q
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|