ARCHIV

Na stroji Av s veřejnou IP běží web server s aplikací. Ta si svoji část stahuje a vkládá z web serveru Bp s privátní IP, který je za firewallem F. Ten má vnější rozhraní Fv a vnitřní Fp.

Na firewallu je pravidlo, že co přijde na IP Fv na port 80, ať je DNAT na stroj Bp.

Funguje to z celého světa, jenom ne z té vnitřní sítě, v níž sídlí stroj Bp.

Když dám nmap z venku, port 80 je otevřený, když zevnitř, port 80 je "filtered".

Jak na to? Díky.

Funguje to z celého světa, jenom ne z té vnitřní sítě, v níž sídlí stroj Bp.

Z vnitrni site to fungovat nemuze, pokud je pravidlo na vnejsim rozhrani.

No, prisli jsme na reseni, ze ve webove aplikaci se budou odkazovat na jmennou adresu a ne na IP. V DNS tuto adresu nasmeruji na vnejsi IP. Na strojich uvnitr site si pak do souboru hosts daji IP Bp a to jeho jmeno.

Na to jak to cele zvladnout jen s IPtables jsme neprisli.

No, prisli jsme na reseni, ze ve webove aplikaci se budou odkazovat na jmennou adresu a ne na IP. V DNS tuto adresu nasmeruji na vnejsi IP. Na strojich uvnitr site si pak do souboru hosts daji IP Bp a to jeho jmeno.

To zni pekne, jenom asi neni duvod davat to napevno do hosts -- DNS server muze odpovidat na dotaz v zavislosti na IP klienta, tzn. z lokalni site dostane IP z privatniho rozsahu, z verejne IP z verejneho.

Na to jak to cele zvladnout jen s IPtables jsme neprisli.

Ve smyslu ze DNAT nefunguje v ramci jednoho rozhrani? Nemam to overene, strilim od boku, ale to se mi trochu nezda ...

Pokud je ta sit rozumne mala, tak bych se tem hosts nebranil. Jediny problem muze byt, ze jiste druhy software na hosts kaslou, obvykle takove, ktere z duvodu vykonu pouzivaji vlastni resolver.

Jeden by se ptal, jaky smysl by ten DNAT v ramci jednoho rozhrani mel :) Ono to dost mozna funguje, ale je to dost divne.

Čeče, s tím jsem se ještě nesetkal, Já myslel, že co je v hosts je svaté... Člověk se pořád učí. Nedávno mě dojal javovský program, který nešel lokálně spustit, protože název kompu (mail) nebyl uveden v hosts jako "mail 127.0.0.1". NJN, aspoň se nenudíme.

No neni, to je proste soubor, ktery umi libc pouzit jako jeden ze zdroju dat pro resolver. Nicmene libc resolver (a vlastne vsechny funkce pro pristup k nejakym sysstemovym databazim) maji neprijemnou vlastnost, ze nejsou thread safe a jsou blokujici a tudiz muze program provadet pouze jedno hledani, existuji aplikace, kde to vadi a tam se to resi nejakou jinou implementaci, ktera typicky na nastaveni libc kasle (uz jenom proto, ze ty NSS moduly stejne pouzit nemuze) a v pripade resolvovani tedy typicky pouziva pouze DNS. Nicmene programy, ktere potrebuji nekam koukat tak casto aby se to vyplatilo zase tak caste nejsou (treba mozilla pouziva libc resolver, coz se projevuje tim, ze pokud jedno resolvovani adresy na necem visi, tak ostatni cekaji, az skonci).

Jinak ohledne toho "mail 127.0.0.1", to neni zrovna dobre. 127.0.0.1 by se melo resolvovat na localhost a 127.0.0.1 na localhost :) Nicmene mnoho programu zcela spravne ocekava ze se hostname na neco da resolvovat (a idealne se to neco resolvuje zpet na hostname), na stroji ze siti je to zrejme - mela by to byt nejaka adresa toho stroje, na systemech bez pripojeni k siti, to muze byt adresa nejakeho dummy rozhrani (coz je principialne loopback, ale s adresou mimo 127/8). Aby se hostname pocitace resolvovalo na 127.0.0.1 je spatne (ale malo cemu to vadi).

Ve vašem případě musíte překládat i zdrojovou adresu (SNAT)

Příklad:

Řekněme, že máte WWW server na adrese 192.168.1.30. Vnitřní síťovka routeru s firewallem je 192.168.1.1, vnější 1.2.3.4.

Pokud z počítače ve vnitřní síti (např. 192.168.1.100) pošlete paket na 1.2.3.4, dojde na router a DNAT ho správně přeloží na cílovou adresu 192.168.1.30. Paket dorazí na WWW server a ten odpoví na zdrojovou adresu, tj. 192.168.1.100. Pracovní stanici tak přijde odpověď s vnitřní adresy WWW serveru.

Tj. pošlete dotaz ze 192.168.1.100 na 1.2.3.4 a odpověď dojde z 192.168.1.30, což je špatně.

Na routeru musíte překládat i zdrojovou adresu (192.168.1.100) na vnitřní adresu routeru (192.168.1.100), aby odpovědi WWW serveru chodily také přes router. (Zpětný překlad adres u udpovědi už bude fungovat automaticky.)

oprava:
... vnitřní adresu routeru (192.168.1.1) ...


Nevýhoda je, že na WWW serveru se nedozvíte původní adresu počítače z vnitřní sítě. To by šlo obejít IP tunelem, což je poněkud složitější záležitost.