|
|
|
Опции темы | Опции просмотра |
#1
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 19:20:11 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а): DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер. DD> Возможно ли его сделать доступным для машин из LAN и снаружи по одному и DD> тому же адресу? Возможно несколькими способами. Идеально сделать его доступным снаружи и изнутри по одному и тому же доменному адресу, то есть по имени. И чтобы запросы к этому имени изнутри ресолвились во внутренний IP. Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри локалки и не станет грузить собой маршрутизатор. Второй вариант, менее предпочтительный - запустить на FreeBSD любой баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. Например, net/bounce: # bounce -a 127.0.0.1 -p 4443 192.168.0.80 443 # ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in recv em0 В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP N.N.N.N, не трогая запросы, приходящие через внешний интерфейс. Eugene -- - Локапалы непобедимы, - сказал Кубера, а девочка подняла кубик и долго-долго разглядывала его, прежде чем назвать. --- slrn/1.0.2 (FreeBSD) |
#2
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу
Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 23:17:21 по местному времени:
From: Dmitry Dolzenko <dol@mig.phys.msu.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 20.09.2016 19:20, Eugene Grosbein пишет: > 20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а): > > DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер. > DD> Возможно ли его сделать доступным для машин из LAN и снаружи по одному и > DD> тому же адресу? > > Возможно несколькими способами. Идеально сделать его доступным снаружи > и изнутри по одному и тому же доменному адресу, то есть по имени. > И чтобы запросы к этому имени изнутри ресолвились во внутренний IP. > Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри локалки > и не станет грузить собой маршрутизатор. О, спасибо. Отличная идея! А реально сделать на named разный ресолв изнутри и снаружи? Или придется 2 копии named вешать на интерфейсы? > Второй вариант, менее предпочтительный - запустить на FreeBSD любой > баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. > Например, net/bounce: > > # bounce -a 127.0.0.1 -p 4443 192.168.0.80 443 > # ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in recv em0 > > В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора > и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает > к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP > N.N.N.N, не трогая запросы, приходящие через внешний интерфейс. > > Eugene Спасибо, интересный вариант, перепишу в копилку знаний :) /D --- ifmail v.2.15dev5.4 |
#3
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу
Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 23:41:22 по местному времени:
From: Dmitry Dolzenko <dol@mig.phys.msu.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 20.09.2016 19:20, Eugene Grosbein пишет: > 20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а): > > DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер. > DD> Возможно ли его сделать доступным для машин из LAN и снаружи по одному и > DD> тому же адресу? > > Возможно несколькими способами. Идеально сделать его доступным снаружи > и изнутри по одному и тому же доменному адресу, то есть по имени. > И чтобы запросы к этому имени изнутри ресолвились во внутренний IP. > Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри локалки > и не станет грузить собой маршрутизатор. О, спасибо. Отличная идея! А реально сделать на named разный ресолв изнутри и снаружи? Или придется 2 копии named вешать на интерфейсы? > Второй вариант, менее предпочтительный - запустить на FreeBSD любой > баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. > Например, net/bounce: > > # bounce -a 127.0.0.1 -p 4443 192.168.0.80 443 > # ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in recv em0 > > В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора > и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает > к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP > N.N.N.N, не трогая запросы, приходящие через внешний интерфейс. > > Eugene Спасибо, интересный вариант, перепишу в копилку знаний :) /D --- ifmail v.2.15dev5.4 |
#4
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу
Dmitry Ivanov написал(а) к Dmitry Dolzenko в Sep 16 23:48:24 по местному времени:
From: Dmitry Ivanov <fido@sadok.spb.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу Здравствуйте, Dmitry. Вы писали 20 сентября 2016 г., 23:17:21: > А реально сделать на named разный ресолв изнутри и снаружи? Или придется > 2 копии named вешать на интерфейсы? Открой для себя named view -- С уважением, Dmitry --- ifmail v.2.15dev5.4 |
#5
|
|||
|
|||
Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Victor Sudakov написал(а) к Eugene Grosbein в Sep 16 08:55:44 по местному времени:
Dear Eugene, 20 Sep 16 19:20, you wrote to Dmitry Dolzenko: DD>> В локалке за FreeBSD + ipfw + kernel nat есть https сервер. DD>> Возможно ли его сделать доступным для машин из LAN и снаружи по DD>> одному и тому же адресу? EG> Возможно несколькими способами. Идеально сделать его доступным снаружи EG> и изнутри по одному и тому же доменному адресу, то есть по имени. EG> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP. EG> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри EG> локалки и не станет грузить собой маршрутизатор. Это хороший способ, однако почему-то в Интернете много людей, которые всеми силами стараются сделать именно hairpin средствами NAT. EG> Второй вариант, менее предпочтительный - запустить на FreeBSD любой EG> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. EG> Например, net/bounce: Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из локалки. Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например nginx. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 |
#6
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 13:17:59 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 20 сен 2016, вторник, в 21:17 NOVT, Dmitry Dolzenko написал(а): DD> 2 копии named вешать на интерфейсы? Реально. named умеет view. Eugene -- Устав от вечных упований, Устав от радостных пиров --- slrn/1.0.2 (FreeBSD) |
#7
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Victor Sudakov в Sep 16 13:23:38 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 21 сен 2016, среда, в 06:55 NOVT, Victor Sudakov написал(а): VS> Это хороший способ, однако почему-то в Интернете много людей, которые всеми VS> силами стараются сделать именно hairpin средствами NAT. Непуганные потому что. EG>> Второй вариант, менее предпочтительный - запустить на FreeBSD любой EG>> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. EG>> Например, net/bounce: VS> Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из VS> локалки. Это в любом случае будет так, включая двойной NAT. Для компов локалки часто это неважно. VS> Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например VS> nginx. Городить целый обратный прокси ради одного X-Forwarded-For? Можно, если очень нужно, но баунсер проще :-) Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#8
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Valentin Davydov написал(а) к Victor Sudakov в Sep 16 09:59:43 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес > From: Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> > Date: Wed, 21 Sep 2016 08:55:44 +0300 > > DD>> В локалке за FreeBSD + ipfw + kernel nat есть https сервер. > DD>> Возможно ли его сделать доступным для машин из LAN и снаружи по > DD>> одному и тому же адресу? > > EG> Возможно несколькими способами. Идеально сделать его доступным снаружи > EG> и изнутри по одному и тому же доменному адресу, то есть по имени. > EG> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP. > EG> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри > EG> локалки и не станет грузить собой маршрутизатор. > >Это хороший способ, Это плохой способ, так как требует много согласованных настроек в разных местах. В частности, на клиентских машинах (чтобы они использовали именно тот DNS). > EG> Второй вариант, менее предпочтительный - запустить на FreeBSD любой > EG> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. > EG> Например, net/bounce: > >Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из >локалки. > >Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например >nginx. Лишняя сущность. Вал. Дав. --- ifmail v.2.15dev5.4 |
#9
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Valentin Davydov написал(а) к Eugene Grosbein в Sep 16 10:02:14 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес > From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> > Date: Wed, 21 Sep 2016 13:23:38 +0300 > > VS> Это хороший способ, однако почему-то в Интернете много людей, которые > VS> всеми > VS> силами стараются сделать именно hairpin средствами NAT. > >Непуганные потому что. > > EG>> Второй вариант, менее предпочтительный - запустить на FreeBSD любой > EG>> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. > EG>> Например, net/bounce: > VS> Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса > VS> компов из > VS> локалки. > >Это в любом случае будет так, включая двойной NAT. Для компов локалки часто >это неважно. > > VS> Чем такой bounce, может лучше уж тогда обратный прокси на firewall, > VS> например > VS> nginx. > >Городить целый обратный прокси ради одного X-Forwarded-For? >Можно, если очень нужно, но баунсер проще :-) А роутить пакеты, не поднимаясь выше уровня icmp - ещё проще (да и дешевле: от DDOS атаки сдохнет только сабж, а роутеру пофиг). Вал. Дав. --- ifmail v.2.15dev5.4 |
#10
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 16:23:44 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 21 сен 2016, среда, в 07:59 NOVT, Valentin Davydov написал(а): >>Это хороший способ, VD> Это плохой способ, так как требует много согласованных настроек в разных VD> местах. В частности, на клиентских машинах (чтобы они использовали именно VD> тот DNS). А с чего бы машинам контролируемой локалки использовать не локальный рекурсор, полученный по DНCP, например? И ничего отдельно согласовывать не требуется. Eugene --- slrn/1.0.2 (FreeBSD) |