https://opennet.dev/openforum/vsluhforumID1/89043.html Всем добрый день! <br>Имею следующую проблему <br>1 Шлюз(Centos5.3) с веб <br>2 Веб ubunt-server 9.04(c апачем 2.2) находится в локалке. <br><br>нужно пробросить порт на ubuntu web server который в локалке <br>НО что бы веб сервер на шлюзе тоже остался виден <br><br>прописываю в iptables на шлюзе <br>-A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination ip.ip.ip.ip:80 <br>-A FORWARD -s ip.ip.ip.ip -p tcp -m tcp --dport 80 -j ACCEPT <br><br>получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза <br>Может можно как то в iptables маркер по доменному имени сделать? <br><br>Заранее благодарен за ответ!<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#7 Thu, 03 Jun 2010 10:35:54 GMT &gt;[оверквотинг удален]<br>&gt;-A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination ip.ip.ip.ip:80 <br>&gt;<br>&gt;-A FORWARD -s ip.ip.ip.ip -p tcp -m tcp --dport 80 -j ACCEPT <br>&gt;<br>&gt;<br>&gt;получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза <br>&gt;<br>&gt;Может можно как то в iptables маркер по доменному имени сделать? <br>&gt;<br>&gt;Заранее благодарен за ответ! <br><br>такое не возможно - подумайте немного и ответь себе на вопрос "как файрвол должен догаться что Вася, стучать на 80 порт лезет на Сентос, а Петя стучать на 80 порт лезет на Убунту?" - модуль "телепатии" есчо никто не придумал. Ставьте задачу коректней тогда и будет решение.<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#6 Wed, 02 Jun 2010 09:43:04 GMT &gt;вопрос безопасности, решаемый обычно вынесением веб-серверов из локалки в DMZ и запретом соединений от них в локалку. <br><br>Гм, почитал, думаю надо как-нибудь "решение которого обычно начинают с вынесения". Потому как это не всё :( решение проблемы, и, более того, решение в этом вопросе -- не конкретное действие, а процесс... Типа, нон-стоп.<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#5 Wed, 02 Jun 2010 09:23:10 GMT &gt;Вот и получается что нужно что б и в локалке вебсервер работал <br>&gt;и на шлюзе тоже работал. <br><br>Если _сильно надо iptables-ом -- входить/слушать снаружи на разные порты.<br>Но http://se.rv.er:port/ "некрасиво".<br><br>Более другой вариант - разделение на уровне http, то есть в слушающем снаружи веб-сервере.<br>В одном VirtualHost-е "отдавать" локальный сервис, в другом сделать ProxyPass -- форавидить на внутренний сервер. Варианты - nginx, apache. Кто-то даже squid примерно в таком режиме использует (реверс-прокси?), но это не совсем то же самое (не веб-сервер и сложнее).<br><br>И в том, и в другом варианте остаётся вопрос безопасности, решаемый обычно вынесением веб-серверов из локалки в DMZ и запретом соединений от них в локалку.<br><br>~~http://www.opennet.ru/openforum/vsluhforumID8/6866.html<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#4 Wed, 02 Jun 2010 09:22:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;(если б у меня был ещё один внешний ip проблемы бы не <br>&gt;&gt;составило но внешний ip только один) <br>&gt;&gt;<br>&gt;&gt;Вот и получается что нужно что б и в локалке вебсервер работал <br>&gt;&gt;и на шлюзе тоже работал. <br>&gt;<br>&gt;1) айчтитипи прокси <br>&gt;2) айчтитипи фронт-енд <br>&gt;3) использовать альтернативные порты совместно с редиректом <br>&gt;4) айпитейблес тут некместу <br><br>Самое простое повесить на сервере http на другой порт наример на 89<br><br> https://opennet.dev/openforum/vsluhforumID1/89043.html#3 Wed, 02 Jun 2010 09:13:53 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Всё просто: в локальной сети подняли веб-сервер и захотели выставить его наружу. <br>&gt;<br>&gt;При этом на компе, который выступает шлюзом в инет для этой <br>&gt;локальной сети, тоже работает веб сервер. <br>&gt;(если б у меня был ещё один внешний ip проблемы бы не <br>&gt;составило но внешний ip только один) <br>&gt;<br>&gt;Вот и получается что нужно что б и в локалке вебсервер работал <br>&gt;и на шлюзе тоже работал. <br><br>1) айчтитипи прокси<br>2) айчтитипи фронт-енд<br>3) использовать альтернативные порты совместно с редиректом<br>4) айпитейблес тут некместу<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#2 Wed, 02 Jun 2010 08:43:37 GMT &gt;&gt;получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза <br>&gt;&gt;Может можно как то в iptables маркер по доменному имени сделать? <br>&gt;<br>&gt;можно для начала изучить модель ISO/OSI и понять, какую ахинею городишь )) <br>&gt;<br><br>Всё просто: в локальной сети подняли веб-сервер и захотели выставить его наружу.<br>При этом на компе, который выступает шлюзом в инет для этой локальной сети, тоже работает веб сервер.<br>(если б у меня был ещё один внешний ip проблемы бы не составило но внешний ip только один)<br><br>Вот и получается что нужно что б и в локалке вебсервер работал и на шлюзе тоже работал.<br> https://opennet.dev/openforum/vsluhforumID1/89043.html#1 Wed, 02 Jun 2010 08:36:03 GMT &gt;получаю доступ к локальному веб серверу но теряю доступ к веб-серверу шлюза <br>&gt;Может можно как то в iptables маркер по доменному имени сделать? <br><br>можно для начала изучить модель ISO/OSI и понять, какую ахинею городишь ))<br><br>