https://mobile.opennet.me/openforum/vsluhforumID10/3618.html Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа 213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял всё по новой. Но вот не могу понять как это было сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую сетевуху и от неё пробросить кабель к внешнему порту, но с позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться. Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин, я хз ... Спасибо.<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#16 Mon, 21 Jan 2008 07:21:34 GMT Всё, разобрался - сделал переадресацию портов в конфиге pf: <br><br>webserver = "192.168.0.4" <br>webports = "{ http, https }" <br><br>rdr on $ext_if proto tcp from any to any port $webports -&gt; $webserver <br><br>#... и в секции после block in all добавил: <br><br>pass in on $ext_if proto tcp from any to $webserver port 80 flags S/SA synproxy state <br><br>Реальный IP на Вебе вообще убрал, оставил только внутренний. Работает. Но всё равно интересно, как же до этого функционировало ... :)<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#15 Mon, 21 Jan 2008 07:20:58 GMT &gt;Про man route была неудачная шутка... <br>&gt;<br>&gt;На сервере с FreeBSD вероятно используется связка ipfw + squid + natd. <br>&gt;Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У <br>&gt;веб сервера внутри сети должен быть только внутренний IP. На шлюзе <br>&gt;с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида: <br>&gt;redirect_port tcp внутренний_IP_вебсервера:80 80 <br>&gt;Она означает, что все данные поступающие на 80 порт через сетевую карту <br>&gt;с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт. <br><br>Вот я типа того и сделал, только с помощью pf :)<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#14 Mon, 21 Jan 2008 07:20:01 GMT &gt;насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е. <br>&gt;сервер на фре должен содержать три сетевых интерфеса - в инет, <br>&gt;в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны <br>&gt;пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу. <br><br>Насколько мне известно, раньше DMZ зоны не было, как-то по другому организовано было.<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#13 Sun, 20 Jan 2008 10:20:39 GMT &gt;Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было <br>&gt;прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа <br>&gt;213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре <br>&gt;с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял <br>&gt;всё по новой. Но вот не могу понять как это было <br>&gt;сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую <br>&gt;сетевуху и от неё пробросить кабель к внешнему порту, но с <br>&gt;позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться. <br>&gt;Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин, <br>&gt;я хз ... Спасибо. <br><br>насколько я понимаю, если уж прятать сервер, то надо делать DMZ. Т.е. сервер на фре должен содержать три сетевых интерфеса - в инет, в DMZ и во внутреннюю сеть предприятия. Сети естественно не должны пересекаться по адресам. Правилами фаера во фре организовывается проброс "forwarding" портов из инета в DMZ к вебсерверу.<br><br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#12 Fri, 18 Jan 2008 05:48:55 GMT &gt;&gt;<br>&gt;&gt;Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал. <br>&gt;<br>&gt;Ехх, ищем ... нету его, или номер сменил :( <br><br>Про man route была неудачная шутка...<br><br>На сервере с FreeBSD вероятно используется связка ipfw + squid + natd. Никаких публичных адресов на сетевой карте веб-сервера прописывать не нужно. У веб сервера внутри сети должен быть только внутренний IP. На шлюзе с фрей посмотрите файл /etc/natd.conf, там должна быть строка вида:<br>redirect_port tcp внутренний_IP_вебсервера:80 80<br>Она означает, что все данные поступающие на 80 порт через сетевую карту с публичным IP, будут передаваться на внутренний_IP_вебсервера 80 порт.<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#11 Thu, 17 Jan 2008 14:59:47 GMT &gt;<br>&gt;Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал. <br><br>Ехх, ищем ... нету его, или номер сменил :(<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#10 Thu, 17 Jan 2008 14:57:27 GMT &gt;Да, наверное можно и так, не спорю. Но ведь как-то работало по <br>&gt;описанной мной схеме ! :( <br><br>Именно так и работало.<br><br>&gt;Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP <br>&gt;213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется <br>&gt;даже внутри сети :( <br><br>Тяжёлый случай... лучшим решением будет найти того человека, который это настраивал. <br>Или другого, обладающими нужными знаниями.<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#9 Thu, 17 Jan 2008 14:47:35 GMT &gt;Когда-то давно прежний админ делал так, что у сетевой карты веб-сервера было <br>&gt;прописано два IP-шника - внутренней сети типа 192.168.0.4 и внешний типа <br>&gt;213.180.204.236 (и это осталось) канал связи шёл через прокси на Фре <br>&gt;с внутренним адресом 192.168.0.1 и внешним 213.180.204.236. Сервер погорел, я поднял <br>&gt;всё по новой. Но вот не могу понять как это было <br>&gt;сделано ? Я понимаю, что можно в Веб-серв. тупо воткнуть вторую <br>&gt;сетевуху и от неё пробросить кабель к внешнему порту, но с <br>&gt;позиции безопасности как-то не хочется. Работало ведь ! Помогите, пожалуйста, разобраться. <br>&gt;Наверно в DNS прописать нужно что-то, или маршрут какой добавить, блин, <br>&gt;я хз ... Спасибо. <br><br>Ещё прошу прощения: я ошибся, в инет наш прокси смотрит с IP 213.180.204.227 а Вебу внутри сети прописан 213.180.204.236. Причём он не пингуется даже внутри сети :(<br> https://mobile.opennet.me/openforum/vsluhforumID10/3618.html#8 Thu, 17 Jan 2008 14:41:24 GMT &gt;&gt;&gt;http://ru.wikipedia.org/wiki/Трансляция порт-адрес <br>&gt;&gt;&gt;Боюсь Вы долго будете разбираться... <br>&gt;&gt;<br>&gt;&gt;У Веб-сервера есть рельный IP адрес, на который и зарегистрирован сайт. Он <br>&gt;&gt;отличен от IP прокси-сервера, через который выходит в инет вся сеть. <br>&gt;&gt;Вопрос в том, как сделать этот реальный IP Веб-сервера доступным из <br>&gt;&gt;интернета ? <br>&gt;<br>&gt;man route <br><br>200 строк текста на английском... а более дельным советом не поделитесь ?<br>