pristup na server z vnitrni site pres venkovni adresu
Dalibor Straka
dast na panelnet.cz
Pátek Leden 31 18:50:52 CET 2003
On Fri, Jan 31, 2003 at 04:57:05PM +0100, Daniel Klicka wrote:
> Dobry den,
> mam sit pripojenou pres linux s maskaradou. Firewallovaci pravidla
> vypadaji asi takhle:
> /sbin/iptables -P OUTPUT ACCEPT
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P FORWARD ACCEPT
> /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> Na WWW server, ktery je ve vnitrni siti pristupuji zvenku pomoci tohoto
> pravidla:
> /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j
> DNAT --to 192.168.0.2
>
> Na WWW server se dostanu odkudkoliv krome vnitrni site.
> DNS pro danou domenu nespravuji a proto se mi nechce vytvorit pro vnitrni
> sit falesny zaznam, ktery by misto skutecne adresy na venkovnim interfacu
> ukazoval rovnou do vnitrni site.
>
> Je nejaka moznost, jak zabezpecit pristup na www server i z vnitrni site
> pres venkovni adresu?
> Dekuji.
> Dan Klicka
>
>
Reseni, ktera jsem sam zkousel
1. Dat na Firewall http proxy
Nevyhoda: Bezi to na firewallu
2. Poucit uzivatele pristupovat na jinou adresu a vysvetlit jim,
ze je to uplne stejne.
Nevyhoda: Na nasi siti mam asi debilni uzivatele ale nepochopili
ze http://192.168.1.2 je tentyz server ktery vidi z prace
pod http://www.server.cz.
3. Na lokalni siti udelat DNS a pro dotaz www.server.cz vracet pro
lokalni sit lokalni IP toho WWW serveru.
Nevyhoda: Zminovany DNS server musi mit uzivatele jako primarni.
Jednotnost (a pokusy) lze osetrit DHCP.
4. Zadnyma iptables to nelze zpravit!
Kdyby vas nahodou napadlo, pridat takovyto zaznam
iptables -t nat -A PREROUTING -p tcp -d <verejna IP> --dport 80
-j DNAT --to <lokalni IP>
tak tim neztracejte cas.
Pouzivam reseni c. 3, klidne zaslu konfigurak toho bindu, kterej neni z
venku vubec videt.
S pozdravem
-- Dalibor Straka
Další informace o konferenci Linux