pristup na server z vnitrni site pres venkovni adresu
Dalibor Straka
dast na panelnet.cz
Pátek Leden 31 22:38:45 CET 2003
On Fri, Jan 31, 2003 at 07:05:55PM +0100, Jan Houstek wrote:
> > 4. Zadnyma iptables to nelze zpravit!
>
> A jsi si tim opravdu zcela jisty?
>
Jsem si jisty, ze to nelze vyresit iptables na jednom pocitaci.
Predstav si modelovou situaci:
Pocitac A=192.168.1.1
WWW=192.168.1.2
FW=192.168.1.3, 1.2.3.4 (verejna)
pocitac A vysle pozadavek na FW(z 192.168.1.1 na 1.2.3.4). Tady pozor,
pozadavek nelze poslat primona WWW. A ted je bud
prijme NAT a vse je ztracene, nebo paket zavcasu odchytime PREROUTINGEM.
Muzeme ho nekam nasmerovat, treba na WWW. Paket cely bez prepsani
zdrojove adresi se na kabelu objevi znova (z 192.168.1.1 na 192.168.1.2)
WWW jej zachyti, obslouzi a vyblinka na kabel (z 192.168.1.2 na
192.168.1.1). Nas mily (linuxovy) pocitac prijme packet na otevrenem
portu, ale co to?! Cekam na odpoved z 1.2.3.4 a prijde mi ze
192.168.1.2!
Pokud se budeme bavit o iptables na dvou pocitacich, musi byt dalsi
prave na NATovanem WWW, ktery muze prepisovat zdrojovou IP pro dotazy z
lokalni site :-). Myslim, ze se shodneme na reseni pomoci DNS.
> > Pouzivam reseni c. 3, klidne zaslu konfigurak toho bindu, kterej neni z
> > venku vubec videt.
>
> Pokud mate panickou hruzu z bindu, zvladne to i napr. pdnsd (primarne je
s tim souhlasim :-).
> to cachovaci DNS server, ale lze mu pridat par zaznamu, nebo nastavit, ze
> ma resolvovat to, co je v /etc/hosts).
>
> Reseni 5:
>
> Na firewall dat nejaky minimalisticky httpd, ktery pri libovolnem
> pozadavku posle redirect na 192.168.x.x (coz neni 100% reseni, ale je to
> jednoduche a IMO lepsi nez vysvetlovat uzivatelum, ze tam maji to
> 192.168.x.x psat rucne).
>
Viz reseni c. 1.
Kdyby jsi nahodou blbe videl moje GPG tak rekni. Je to asi 5 minut co
jsem to zprovoznil a hledam testery :).
-- Dalibor Straka
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030131/739118dc/attachment.sig>
Další informace o konferenci Linux