Нttps сервер в локалке - доступ извне и из локалки по одному адрес

Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 19:20:11 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адресу

20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а):

DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
DD> Возможно ли его сделать доступным для машин из LAN и снаружи по одному и
DD> тому же адресу?

Возможно несколькими способами. Идеально сделать его доступным снаружи
и изнутри по одному и тому же доменному адресу, то есть по имени.
И чтобы запросы к этому имени изнутри ресолвились во внутренний IP.
Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри локалки
и не станет грузить собой маршрутизатор.

Второй вариант, менее предпочтительный - запустить на FreeBSD любой
баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
Например, net/bounce:

# bounce -a 127.0.0.1 -p 4443 192.168.0.80 443
# ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in recv em0

В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора
и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает
к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP
N.N.N.N, не трогая запросы, приходящие через внешний интерфейс.

Eugene
--
- Локапалы непобедимы, - сказал Кубера, а девочка подняла кубик
и долго-долго разглядывала его, прежде чем назвать.
--- slrn/1.0.2 (FreeBSD)

Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 23:17:21 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу


20.09.2016 19:20, Eugene Grosbein пишет:
> 20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а):
>
> DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
> DD> Возможно ли его сделать доступным для машин из LAN и снаружи по
одному и
> DD> тому же адресу?
>
> Возможно несколькими способами. Идеально сделать его доступным снаружи
> и изнутри по одному и тому же доменному адресу, то есть по имени.
> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP.
> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри
локалки
> и не станет грузить собой маршрутизатор.

О, спасибо.
Отличная идея!
А реально сделать на named разный ресолв изнутри и снаружи? Или придется
2 копии named вешать на интерфейсы?


> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
> Например, net/bounce:
>
> # bounce -a 127.0.0.1 -p 4443 192.168.0.80 443
> # ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in
recv em0
>
> В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора
> и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает
> к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP
> N.N.N.N, не трогая запросы, приходящие через внешний интерфейс.
>
> Eugene

Спасибо, интересный вариант, перепишу в копилку знаний :)

/D



--- ifmail v.2.15dev5.4

Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 23:41:22 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу

20.09.2016 19:20, Eugene Grosbein пишет:
> 20 сен 2016, вторник, в 10:24 NOVT, Dmitry Dolzenko написал(а):
>
> DD> В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
> DD> Возможно ли его сделать доступным для машин из LAN и снаружи по одному и
> DD> тому же адресу?
>
> Возможно несколькими способами. Идеально сделать его доступным снаружи
> и изнутри по одному и тому же доменному адресу, то есть по имени.
> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP.
> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри локалки
> и не станет грузить собой маршрутизатор.

О, спасибо.
Отличная идея!
А реально сделать на named разный ресолв изнутри и снаружи? Или придется
2 копии named вешать на интерфейсы?


> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
> Например, net/bounce:
>
> # bounce -a 127.0.0.1 -p 4443 192.168.0.80 443
> # ipfw add 2000 fwd 127.0.0.1,4443 tcp from any to N.N.N.N 443 in recv em0
>
> В этом случае bounce занимает порт 4443 на лупбеке маршрутизатора
> и пробрасывает запросы к нему на 192.168.0.80:443, а ipfw заворачивает
> к нему запросы, приходяшие через локальный интерфейс em0 на внешний IP
> N.N.N.N, не трогая запросы, приходящие через внешний интерфейс.
>
> Eugene

Спасибо, интересный вариант, перепишу в копилку знаний :)

/D


--- ifmail v.2.15dev5.4

Dmitry Ivanov написал(а) к Dmitry Dolzenko в Sep 16 23:48:24 по местному времени:

From: Dmitry Ivanov <fido@sadok.spb.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу

Здравствуйте, Dmitry.

Вы писали 20 сентября 2016 г., 23:17:21:


> А реально сделать на named разный ресолв изнутри и снаружи? Или придется
> 2 копии named вешать на интерфейсы?

Открой для себя named view


--
С уважением,
Dmitry

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Eugene Grosbein в Sep 16 08:55:44 по местному времени:

Dear Eugene,

20 Sep 16 19:20, you wrote to Dmitry Dolzenko:

DD>> В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
DD>> Возможно ли его сделать доступным для машин из LAN и снаружи по
DD>> одному и тому же адресу?

EG> Возможно несколькими способами. Идеально сделать его доступным снаружи
EG> и изнутри по одному и тому же доменному адресу, то есть по имени.
EG> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP.
EG> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри
EG> локалки и не станет грузить собой маршрутизатор.

Это хороший способ, однако почему-то в Интернете много людей, которые всеми силами стараются сделать именно hairpin средствами NAT.

EG> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
EG> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
EG> Например, net/bounce:

Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из локалки.

Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например nginx.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 13:17:59 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адресу

20 сен 2016, вторник, в 21:17 NOVT, Dmitry Dolzenko написал(а):

DD> 2 копии named вешать на интерфейсы?

Реально. named умеет view.

Eugene
--
Устав от вечных упований,
Устав от радостных пиров
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Sep 16 13:23:38 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес

21 сен 2016, среда, в 06:55 NOVT, Victor Sudakov написал(а):

VS> Это хороший способ, однако почему-то в Интернете много людей, которые всеми
VS> силами стараются сделать именно hairpin средствами NAT.

Непуганные потому что.

EG>> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
EG>> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
EG>> Например, net/bounce:
VS> Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из
VS> локалки.

Это в любом случае будет так, включая двойной NAT. Для компов локалки часто
это неважно.

VS> Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например
VS> nginx.

Городить целый обратный прокси ради одного X-Forwarded-For?
Можно, если очень нужно, но баунсер проще :-)

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Valentin Davydov написал(а) к Victor Sudakov в Sep 16 09:59:43 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

> From: Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org>
> Date: Wed, 21 Sep 2016 08:55:44 +0300
>
> DD>> В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
> DD>> Возможно ли его сделать доступным для машин из LAN и снаружи по
> DD>> одному и тому же адресу?
>
> EG> Возможно несколькими способами. Идеально сделать его доступным снаружи
> EG> и изнутри по одному и тому же доменному адресу, то есть по имени.
> EG> И чтобы запросы к этому имени изнутри ресолвились во внутренний IP.
> EG> Тогда трафик изнутри локалки к серверу и обратно будет ходить внутри
> EG> локалки и не станет грузить собой маршрутизатор.
>
>Это хороший способ,

Это плохой способ, так как требует много согласованных настроек в разных
местах. В частности, на клиентских машинах (чтобы они использовали именно
тот DNS).

> EG> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
> EG> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
> EG> Например, net/bounce:
>
>Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса компов из
>локалки.
>
>Чем такой bounce, может лучше уж тогда обратный прокси на firewall, например
>nginx.

Лишняя сущность.

Вал. Дав.
--- ifmail v.2.15dev5.4

Valentin Davydov написал(а) к Eugene Grosbein в Sep 16 10:02:14 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

> From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org>
> Date: Wed, 21 Sep 2016 13:23:38 +0300
>
> VS> Это хороший способ, однако почему-то в Интернете много людей, которые
> VS> всеми
> VS> силами стараются сделать именно hairpin средствами NAT.
>
>Непуганные потому что.
>
> EG>> Второй вариант, менее предпочтительный - запустить на FreeBSD любой
> EG>> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки.
> EG>> Например, net/bounce:
> VS> Ну а в этом случае IMНO в логах веб-сервера не будут видны IP адреса
> VS> компов из
> VS> локалки.
>
>Это в любом случае будет так, включая двойной NAT. Для компов локалки часто
>это неважно.
>
> VS> Чем такой bounce, может лучше уж тогда обратный прокси на firewall,
> VS> например
> VS> nginx.
>
>Городить целый обратный прокси ради одного X-Forwarded-For?
>Можно, если очень нужно, но баунсер проще :-)

А роутить пакеты, не поднимаясь выше уровня icmp - ещё проще (да и дешевле:
от DDOS атаки сдохнет только сабж, а роутеру пофиг).

Вал. Дав.
--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 16:23:44 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес

21 сен 2016, среда, в 07:59 NOVT, Valentin Davydov написал(а):

>>Это хороший способ,
VD> Это плохой способ, так как требует много согласованных настроек в разных
VD> местах. В частности, на клиентских машинах (чтобы они использовали именно
VD> тот DNS).

А с чего бы машинам контролируемой локалки использовать не локальный
рекурсор, полученный по DНCP, например? И ничего отдельно согласовывать
не требуется.

Eugene
--- slrn/1.0.2 (FreeBSD)