Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: Веб зад firewall

Subject: Re: lug-bg: Веб зад firewall
From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
Date: Sat, 18 Sep 2004 12:11:33 +0300

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

antracit1@xxxxx wrote:

| Имам мапина във локалната мрежа, на която е качен веб сървър с IP
| 10.0.0.2 и firewall с ИП на eth1 10.0.0.1 и IP на eth0 А.Б.Ц.Д.
| Направил съм правило iptables -t nat -A PREROUTING -i eth0 -p tcp
| --dport 80 -j DNAT --to-destination 10.0.0.2 и всичко е ok, но
| когато друга машина от локалната мрежа подаде заявка за веб сайта,
| DNS-a и връща IP A.B.C.D. Опитах със следното правило, ама не стана
|  iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d A.B.C.D
|  -j DNAT --to-destination 10.0.0.2
|
| Какво да правя?

Така, първо да видим дали правилно съм те разбрал. Ти искаш web
сървър, който е в локалната ти мрежа за частно ползване да се вижда от
публичния интернет чрез DNAT премаршрутизация. Първо да те поздравя за
решението ти. Да, това е една добра схема. Второ, ще се опитам да ти
покажа начин за решаване на проблема.

Малко анализ на ситуацията:

- --> Когато машина от сегмента 10.0.0.0/X (очаквам при теб X да е
по-малко от 30) иницира сесия към А.Б.Ц.Д се получава следния ефект.
Заявката отива до шлюза (предполагам, че това е 10.0.0.1). Там обаче
няма правило, което да удовлетвори DNAT схемата, защото се DNAT-ват
пакети, които идват на eth0.

Едно от възможните решения почива на функционалността "view" в BIND.
При тази функционалност ти можеш да даваш отговори на DNS заявки в
зависимост от това кой пита. Очевидно се пита по пълно квалифицирано
име на хост, а не по IP адрес. Тогава DNS решението напълно те
удовлетворява.

Повече за "view" можеш да прочетеш в документацията на BIND, ако не
можеш да я намериш при теб в /usr/share/doc, ето ти едно нейно
местонахождение в web (с препратка към функционалността "view"):

http://www.lcpe.uni-sofia.bg/linuxdoc/BIND9/Bv9ARM.ch06.html#AEN3080

Ако срешнеш проблеми при изпълнението, няма никакви проблеми да
попиташ тук.

~  Поздрави и пожелания за успех
~     Весо



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFBS/vF+48lZPXaa+MRApZnAJwPFZgjoyUnFRaTJBDlae4s/x1JzQCgxNcx
DjYvCgjVzXkufDbLGmbMZCo=
=9n4q
-----END PGP SIGNATURE-----

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Относно:
- lug-bg: Веб зад firewall
  - Изпратено от: "antracit1@xxxxx" <antracit1@xxxxx>

Предишно по дата: Re: lug-bg: Веб зад firewall
Следващо по дата: Re: lug-bg: [OT] Веб зад firewall
Предишно по тема: Re: lug-bg: [OT] Веб зад firewall
Следващо по тема: lug-bg: quagga(zebra)
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG