Нttps сервер в локалке - доступ извне и из локалки по одному адрес

Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 17:54:51 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адресу

21 сен 2016, среда, в 07:57 NOVT, Valentin Davydov написал(а):

>>В локалке за FreeBSD + ipfw + kernel nat есть https сервер.
>>Возможно ли его сделать доступным для машин из LAN и снаружи по одному и
>>тому же адресу?
VD> Да. Проще всего, пожалуй, во-первых, сконфигурировать внешний адрес на
VD> одном из интерфейсов сервера (например, на lo0 алиасом), во-вторых,
VD> сказать роутеру static route на этот адрес (и проверить, что пакеты на
VD> этот адрес, равно как и с него, роутятся мимо ната), и в-третьих,
VD> убедиться, что механизм icmp redirect в локалке работает.

Это тоже вариант, но требует IP-адреса на лупбек веб-сервера,
отличного от внешнего IP маршрутизатора, что не всегда доступно.

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Sep 16 15:41:54 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> А с чего бы машинам контролируемой локалки использовать не локальный
например потому что ты только думаешь, что что-то там контролируешь.

> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в Sep 16 15:43:25 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

DD>> 2 копии named вешать на интерфейсы?
EG> Реально. named умеет view.
ой... лучше бы уж не умел.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Sep 16 21:53:10 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адресу

21 сен 2016, среда, в 13:43 NOVT, Alex Korchmar написал(а):

DD>>> 2 копии named вешать на интерфейсы?
EG>> Реально. named умеет view.
AK> ой... лучше бы уж не умел.

Топик-стартеру хватит с избытком.

Eugene
--
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Sep 16 21:53:47 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес

21 сен 2016, среда, в 13:41 NOVT, Alex Korchmar написал(а):

EG>> А с чего бы машинам контролируемой локалки использовать не локальный
AK> например потому что ты только думаешь, что что-то там контролируешь.

Уж свою-то локальную сеть всегда можно контролировать.
Например, NAT не включать. Или пускать через NAT выборочно.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Valentin Davydov написал(а) к Eugene Grosbein в Sep 16 19:28:03 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

> From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org>
> Date: Wed, 21 Sep 2016 16:23:44 +0300
>
> >>Это хороший способ,
> VD> Это плохой способ, так как требует много согласованных настроек в разных
> VD> местах. В частности, на клиентских машинах (чтобы они использовали именно
> VD> тот DNS).
>
>А с чего бы машинам контролируемой локалки использовать не локальный
>рекурсор, полученный по DНCP, например?

А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы клиенты
сами не могли куда-нибудь на 8.8.8.8 ходить, да?

>И ничего отдельно согласовывать не требуется.

Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах
адрес того dnsа).

Вал. Дав.

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 15:08:49 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес

21 сен 2016, среда, в 17:28 NOVT, Valentin Davydov написал(а):

>>>Это хороший способ,
VD>> Это плохой способ, так как требует много согласованных настроек в разных
VD>> местах. В частности, на клиентских машинах (чтобы они использовали
VD> именно
VD>> тот DNS).
>>А с чего бы машинам контролируемой локалки использовать не локальный
>>рекурсор, полученный по DНCP, например?
VD> А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы клиенты
VD> сами не могли куда-нибудь на 8.8.8.8 ходить, да?

Зачем фильтровать? Просто NAT не включать :-)

>>И ничего отдельно согласовывать не требуется.
VD> Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах
VD> адрес того dnsа).

На сервере настроить напряг не большой, а на клиентах практически все оси
поддерживают получение адреса по DНCP по дефолту или одним из основных
способов настройки сети.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 11:51:01 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

22.09.2016 15:08, Eugene Grosbein пишет:
> VD> А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы
> VD> клиенты
> VD> сами не могли куда-нибудь на 8.8.8.8 ходить, да?
>
> Зачем фильтровать? Просто NAT не включать :-)
>
> >>И ничего отдельно согласовывать не требуется.
> VD> Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах
> VD> адрес того dnsа).
>
> На сервере настроить напряг не большой, а на клиентах практически все оси
> поддерживают получение адреса по DНCP по дефолту или одним из основных
> способов настройки сети.

C этим проблем нет, все получают dns по dhcpd. Так что с named view все
будет красиво.

Жаль надо 2 файла зоны вести, нельзя в самой зоне прописать
if external
адрес такой
else
сякой

Но это все мелочи :)

А могу я в internal view прописать только 1 нужную зону, про которую
идет речь, или надо в каждом view прописать все зоны named?




--- ifmail v.2.15dev5.4

Konstantin Stefanov написал(а) к Dmitry Dolzenko в Sep 16 12:30:03 по местному времени:

From: Konstantin Stefanov <cstef@mail.ru>
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес

On 22.09.2016 11:51, Dmitry Dolzenko wrote:
> А могу я в internal view прописать только 1 нужную зону, про которую
> идет речь, или надо в каждом view прописать все зоны named?
Если во view зона не прописана, то для клиентов из этой зоны на запросы
из нее named будет себя вести так, как будто про эту зону он ничего не
знает. Значит, либо рекурсия (потенциально к своим же вторичникам или к
самому себе со странными эффектами), ну или отказ, если рекурсия запрещена.

--
Константин Стефанов

А мелкий начальник карьеры в начале пока изучает чего где урвать.
--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 18:20:09 по местному времени:

Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес

22 сен 2016, четверг, в 09:51 NOVT, Dmitry Dolzenko написал(а):

DD> Жаль надо 2 файла зоны вести, нельзя в самой зоне прописать
DD> if external
DD> адрес такой
DD> else
DD> сякой

На самом деле можно. Все одинаковые записи выносишь в отдельный файл
zonename.inc и подключаешь его в оба файла зоны через:

$INCLUDE /etc/namedb/master/zonename.inc

А в основных файлах зоны оставляешь только зависящие от вида записи.
Таким образом избегаешь дублирования.

DD> А могу я в internal view прописать только 1 нужную зону, про которую
DD> идет речь, или надо в каждом view прописать все зоны named?

Зависит от того, что ты хочешь получить в итоге.
Если запрос отнесён демоном к одному из view и в этом view нету
нужной зоны, то и ответа не будет. С другой стороны, если к нужному
view относить только запросы к нужным зонам, то это не проблема.

На практике проще всего описания своих зон вынести в отдельные файлы
типа named.conf.zones и named.conf.zones-int и включать их внутрь view
основного named.conf через include "named.conf.zones" в нужном месте
конфига, нужные зоны включая в оба view.

Eugene
--
И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно.
--- slrn/1.0.2 (FreeBSD)