Вопрос знатокам NАТа и вообще всем

 
RU Andy-Andrei #02.06.2004 09:18
+
-
edit
 

Andy-Andrei

втянувшийся

Привет.
Есть такая нестандартная на мой взгляд конфигурация. В организации находится файрвол, он же гейт в интернет, поставленный на Freebsd 4.7. Хотя как гейт он не используется :) Для нужд организации там поднят сквид. Ну да ладно.
За этим гейтом внутри сети стоит еще один комп, который cross-over проводом подключен непосредственно только к самому гейту и более ни к чему. На этом компе стоит веб-сервер учреждения.

Чтобы вебсервер был виден в интернете, на гейте поднят нат с таким параметром:
-interface xl0 -redirect_port tcp 192.168.2.2:80 80

где 192.168.2.2 - это интерфейс компа с веб-сервером, а xl0 наружний интерфейс гейта, которым он смотрит в инет, само собой.

На гейте в правилах файрвола прописано:
1 allow tcp from any to any 80 via xl0
2 allow tcp from any 80 to any via xl0

В общем, все по книжке, и вебсервак в инете виден. Тады они грят, а как нам изнутри сети свой ненаглядный вебсайт разглядывать?
Ну я беру и поднимаю еще один нат, на этот раз для внутреннего интерфейса:

-interface xl1 -redirect_port tcp 192.168.2.2:80 80

где xl1 - внутренний интерфейс гейта, а в файрволе рисую:

3 allow tcp from any to any 80 via xl1
4 allow tcp from any 80 to any via xl1

Помня о сквиде, в браузерах запрещаю проксироваться по локальным адресам и говорю: чтобы увидеть ваш вебсайт просто ходите по ip адресу внутреннего интерфейса гейта. И все работает.

Только на внутренний интерфейс им ломиться не нравится! Вот и вопрос: как сделать так, чтобы на ихний вебсервак можно было заходить через сквид?!

Ты не смотри, что у меня вечно штраф висит... Я не буйный...  
RU Andy-Andrei #03.06.2004 08:50
+
-
edit
 

Andy-Andrei

втянувшийся

Нет знатоков, что ли?
Я бы и сам разрулил, если бы механизм понимал. Ну вот, скажем, просит юзверь у сквида, дай мне страничку по адресу Microsoft Corporation: Software, Smartphones, Online, Games, Cloud Computing, IT Business Technology, Downloads. Тот лезет на DNS, узнает IP, и выясняется, что этот IP принадлежит сетевому интерфейсу на той самой машине, на которой сам сквид находится. Что дальше-то происходит? На какой интерфейс пакеты пойдут? Что мне в файрволе и куда заворачивать?
Ты не смотри, что у меня вечно штраф висит... Я не буйный...  

ceci_

втянувшийся

Andy-Andrei, 03.06.2004 07:50:06 :
Нет знатоков, что ли?
Я бы и сам разрулил, если бы механизм понимал. Ну вот, скажем, просит юзверь у сквида, дай мне страничку по адресу Microsoft Corporation: Software, Smartphones, Online, Games, Cloud Computing, IT Business Technology, Downloads. Тот лезет на DNS, узнает IP, и выясняется, что этот IP принадлежит сетевому интерфейсу на той самой машине, на которой сам сквид находится. Что дальше-то происходит? На какой интерфейс пакеты пойдут? Что мне в файрволе и куда заворачивать?
 


Хорошо, а скуид по rout-ингу разве не пройдет к 192.168.2.2 ?
если проблемма в том чтобьi юзерьi могли ходить на внешний адрес, то тогда можно сделать портмапинг с внутренего интерфейс к www фирмьi на 192.168.2.2 ?

client/192.168.0.x/ -> int interface/192.168.0.1/ portmap src 192.168.0.x dst _real_ip_of_www_:80 to 192.168.2.2:80

в принципе в е'том случае думаю что если указать веб-браузеру чтоб не слал на прокси заявку для _real_ip_of_www_ то заявка должна пройти без участия скуида :)

Сам скуид не пройдет по входящей цепи файервола и пое'тому на него не подействует портмапинг в котором указано что все входящшие с интерфейса ext пакетьi мапятся на внутрений адрес /192.168.2.2:80/ для е'тго легче всего прописать имя 192.168.2.2 http://www.xxx.xxx в /etc/hosts файле и в nsswitch.conf
поставить:
hosts: files dns
но е'то по моему самое кривое решение, лучше поднять внутренею зону днс и клиентьi будут резолвится мпо ней, как вариант можно сделать view на днсе в зависимости от того с какой подсети идет заявка :)
 
Это сообщение редактировалось 03.06.2004 в 12:22

в начало страницы | новое

Погиб Варбан
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru