#11
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 17:54:51 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 21 сен 2016, среда, в 07:57 NOVT, Valentin Davydov написал(а): >>В локалке за FreeBSD + ipfw + kernel nat есть https сервер. >>Возможно ли его сделать доступным для машин из LAN и снаружи по одному и >>тому же адресу? VD> Да. Проще всего, пожалуй, во-первых, сконфигурировать внешний адрес на VD> одном из интерфейсов сервера (например, на lo0 алиасом), во-вторых, VD> сказать роутеру static route на этот адрес (и проверить, что пакеты на VD> этот адрес, равно как и с него, роутятся мимо ната), и в-третьих, VD> убедиться, что механизм icmp redirect в локалке работает. Это тоже вариант, но требует IP-адреса на лупбек веб-сервера, отличного от внешнего IP маршрутизатора, что не всегда доступно. Eugene -- Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою; слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина, изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма) --- slrn/1.0.2 (FreeBSD) |
#12
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Alex Korchmar написал(а) к Eugene Grosbein в Sep 16 15:41:54 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: EG> А с чего бы машинам контролируемой локалки использовать не локальный например потому что ты только думаешь, что что-то там контролируешь. > Alex --- ifmail v.2.15dev5.4 |
#13
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу
Alex Korchmar написал(а) к Eugene Grosbein в Sep 16 15:43:25 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: DD>> 2 копии named вешать на интерфейсы? EG> Реально. named умеет view. ой... лучше бы уж не умел. > Alex --- ifmail v.2.15dev5.4 |
#14
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Alex Korchmar в Sep 16 21:53:10 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адресу 21 сен 2016, среда, в 13:43 NOVT, Alex Korchmar написал(а): DD>>> 2 копии named вешать на интерфейсы? EG>> Реально. named умеет view. AK> ой... лучше бы уж не умел. Топик-стартеру хватит с избытком. Eugene -- Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою; слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина, изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма) --- slrn/1.0.2 (FreeBSD) |
#15
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Alex Korchmar в Sep 16 21:53:47 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 21 сен 2016, среда, в 13:41 NOVT, Alex Korchmar написал(а): EG>> А с чего бы машинам контролируемой локалки использовать не локальный AK> например потому что ты только думаешь, что что-то там контролируешь. Уж свою-то локальную сеть всегда можно контролировать. Например, NAT не включать. Или пускать через NAT выборочно. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#16
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Valentin Davydov написал(а) к Eugene Grosbein в Sep 16 19:28:03 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес > From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> > Date: Wed, 21 Sep 2016 16:23:44 +0300 > > >>Это хороший способ, > VD> Это плохой способ, так как требует много согласованных настроек в разных > VD> местах. В частности, на клиентских машинах (чтобы они использовали именно > VD> тот DNS). > >А с чего бы машинам контролируемой локалки использовать не локальный >рекурсор, полученный по DНCP, например? А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы клиенты сами не могли куда-нибудь на 8.8.8.8 ходить, да? >И ничего отдельно согласовывать не требуется. Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах адрес того dnsа). Вал. Дав. --- ifmail v.2.15dev5.4 |
#17
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Valentin Davydov в Sep 16 15:08:49 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 21 сен 2016, среда, в 17:28 NOVT, Valentin Davydov написал(а): >>>Это хороший способ, VD>> Это плохой способ, так как требует много согласованных настроек в разных VD>> местах. В частности, на клиентских машинах (чтобы они использовали VD> именно VD>> тот DNS). >>А с чего бы машинам контролируемой локалки использовать не локальный >>рекурсор, полученный по DНCP, например? VD> А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы клиенты VD> сами не могли куда-нибудь на 8.8.8.8 ходить, да? Зачем фильтровать? Просто NAT не включать :-) >>И ничего отдельно согласовывать не требуется. VD> Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах VD> адрес того dnsа). На сервере настроить напряг не большой, а на клиентах практически все оси поддерживают получение адреса по DНCP по дефолту или одним из основных способов настройки сети. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#18
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Dmitry Dolzenko написал(а) к Eugene Grosbein в Sep 16 11:51:01 по местному времени:
From: Dmitry Dolzenko <dol@mig.phys.msu.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 22.09.2016 15:08, Eugene Grosbein пишет: > VD> А для полного счастья ещё и отфильтровать 53 порт на роутере, чтобы > VD> клиенты > VD> сами не могли куда-нибудь на 8.8.8.8 ходить, да? > > Зачем фильтровать? Просто NAT не включать :-) > > >>И ничего отдельно согласовывать не требуется. > VD> Так всё равно настраивать придётся (на клиентах dhcpcd, на dhcp-серверах > VD> адрес того dnsа). > > На сервере настроить напряг не большой, а на клиентах практически все оси > поддерживают получение адреса по DНCP по дефолту или одним из основных > способов настройки сети. C этим проблем нет, все получают dns по dhcpd. Так что с named view все будет красиво. Жаль надо 2 файла зоны вести, нельзя в самой зоне прописать if external адрес такой else сякой Но это все мелочи :) А могу я в internal view прописать только 1 нужную зону, про которую идет речь, или надо в каждом view прописать все зоны named? --- ifmail v.2.15dev5.4 |
#19
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес
Konstantin Stefanov написал(а) к Dmitry Dolzenko в Sep 16 12:30:03 по местному времени:
From: Konstantin Stefanov <cstef@mail.ru> Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес On 22.09.2016 11:51, Dmitry Dolzenko wrote: > А могу я в internal view прописать только 1 нужную зону, про которую > идет речь, или надо в каждом view прописать все зоны named? Если во view зона не прописана, то для клиентов из этой зоны на запросы из нее named будет себя вести так, как будто про эту зону он ничего не знает. Значит, либо рекурсия (потенциально к своим же вторичникам или к самому себе со странными эффектами), ну или отказ, если рекурсия запрещена. -- Константин Стефанов А мелкий начальник карьеры в начале пока изучает чего где урвать. --- ifmail v.2.15dev5.4 |
#20
|
|||
|
|||
Re: Нttps сервер в локалке - доступ извне и из локалки по одному
адрес
Eugene Grosbein написал(а) к Dmitry Dolzenko в Sep 16 18:20:09 по местному времени:
Subject: Re: Нttps сервер в локалке - доступ извне и из локалки по одному адрес 22 сен 2016, четверг, в 09:51 NOVT, Dmitry Dolzenko написал(а): DD> Жаль надо 2 файла зоны вести, нельзя в самой зоне прописать DD> if external DD> адрес такой DD> else DD> сякой На самом деле можно. Все одинаковые записи выносишь в отдельный файл zonename.inc и подключаешь его в оба файла зоны через: $INCLUDE /etc/namedb/master/zonename.inc А в основных файлах зоны оставляешь только зависящие от вида записи. Таким образом избегаешь дублирования. DD> А могу я в internal view прописать только 1 нужную зону, про которую DD> идет речь, или надо в каждом view прописать все зоны named? Зависит от того, что ты хочешь получить в итоге. Если запрос отнесён демоном к одному из view и в этом view нету нужной зоны, то и ответа не будет. С другой стороны, если к нужному view относить только запросы к нужным зонам, то это не проблема. На практике проще всего описания своих зон вынести в отдельные файлы типа named.conf.zones и named.conf.zones-int и включать их внутрь view основного named.conf через include "named.conf.zones" в нужном месте конфига, нужные зоны включая в оба view. Eugene -- И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно. --- slrn/1.0.2 (FreeBSD) |