Tomsk Sysadmins Forum
Unix => Администрирование => Topic started by: Barbarian on July 23, 2006, 12:21:34
-
В общем имеется следующая ситуация:
Стоит сервер с реальным IP - выполняет роль мрашрутизатора в локальную сеть, на нем же установлен почтовй сервер, к IP сревера прикручен домен второго уровня для работы вебинтерфейса почтового сервера. В локальной сети стоит еще один сервер (имеет серый IP) на нем нужно организовать хостинг с доменными именами третьего уровня подчиненные доменному имени почтового сервера.
Ставить хостинг сервер на одной машине с почтовым сервером не нужно по соображениям безопасности, да и не охота нарушать работу самого почтового сервера.
Как сделать так, что бы запросы из Интернета на домены третьего уровня перенаправлялись на хостинг сервер расположенный в локальной сети и имеющий серый IP.
Брать дополнительной IP для хостинг сервера не представляется возможным технически.
Подскажите куда копать...
-
Подсказываю - пробрось 80й порт на серую машинку и настрой днс. Могу сказать как это делается на циско : ))
Но раз уж у тебя там шлюз, то думаю там nat, вот туда и копай.
-
какая ОС на рутере?
обычное перенаправление портов, это могут даже бюджетные "рутеры" d-link (;
осталось определить какой у тя FireWall и написать правильно правило
-
Уточняю задачу:
В качестве рутера стоит сервер на FC, на нем установлен почтовый сервер. За рутером стоит локалка с серыми адресами, в ней же стоит будущий хостинг сервер.
Если просто пробросить 80-й порт на серую машинку, то перестанет работать веб-интерфейс почтового сервера, на котором к реальному IP привязан домен вида www.domen.com
На хостинговый сервер нужно отправлять доменные имена вида - name1.domen.com name2.domen.com name3.domen.com
-
Ну тогда раскинем мозгами - IP про домены ничего не знает и не слышал и не имеет такого желания, а значит наверное надо поднять squid задом наперед : )) Просто предположение... Может кто другой путь подскажет. По сути не помню чтоб iptables мог http заголовки разбирать, а вот squid вполне.
-
либо сквид с реверсным прокси (громоздко достаточно), либо апач с mod_proxy (вроде пошустрее)
-
либо сквид с реверсным прокси (громоздко достаточно), либо апач с mod_proxy (вроде пошустрее)
Это нужно будет наверное скомпилить апачь с поддержкой модуля - mod_proxy ?
-
Это нужно будет наверное скомпилить апачь с поддержкой модуля - mod_proxy ?
да
-
Если просто пробросить 80-й порт на серую машинку, то перестанет работать веб-интерфейс почтового сервера, на котором к реальному IP привязан домен вида www.domen.com
На хостинговый сервер нужно отправлять доменные имена вида - name1.domen.com name2.domen.com name3.domen.com
Можно поставить nginx - специально сделаная софтина для разбрасывания по разным условиям входящих коннектов http на разные сервера.
автор и всё остальное здесь http://sysoev.ru/nginx/ (http://sysoev.ru/nginx/)
у меня стоял - нормально работал, справлялся с точно такой же задачей.
Потом поставил апач, он может тоже самое.
-
Еси на шлюзе устанавливать дополнительное ПО не желательно, то следует сделать DNAT 80-го порта на шлюзе на хост который будет являтся WEB-сервером.
Если в качестве WEB-сервера используется апач, то стоит почитать вот это
http://httpd.apache.org/docs/2.0/vhosts/name-based.html (http://httpd.apache.org/docs/2.0/vhosts/name-based.html)
и вот это
http://httpd.apache.org/docs/2.0/mod/core....secanonicalname (http://httpd.apache.org/docs/2.0/mod/core.html#usecanonicalname)
для понимания того как настроить Name-based Virtual Host Support.
PS. Только не нужно писать, что "внешки" нет. Документация идет с апачем в комплекте, ищите там, если нет "внешки".
-
Всем большое спасибо, уже все разрулено через mod_proxy
-
Погонял я сервер с использованием mod_proxy и вот хочу что бы IP адреса с которых пришел запрос не преобразовывались бы в серые IP
Кто знает, возможно ли такое с использованием mod_proxy?
-
А нельзя просто пробросить 80 порт на машину внутри сети, а веб интерфейс к почте привязать к той машине на которой она собственно и крутится, т. е. не обязательно же иметь веб сервер, на том же IP где и почта вращается???
-
А нельзя просто пробросить 80 порт на машину внутри сети, а веб интерфейс к почте привязать к той машине на которой она собственно и крутится, т. е. не обязательно же иметь веб сервер, на том же IP где и почта вращается???
не понял тебя если честно...
-
не понял тебя если честно...
Ну есть допустим у тебя почтовик на шлюзе, есть веб сервер в локалке, оставь почтовик на шлюзе, а веб интерфейс разверни на веб сервере, ведь не обязательно, чтобы они физически находились на одном серваке?!
-
Ну есть допустим у тебя почтовик на шлюзе, есть веб сервер в локалке, оставь почтовик на шлюзе, а веб интерфейс разверни на веб сервере, ведь не обязательно, чтобы они физически находились на одном серваке?!
вариант, но геморно все это, не охота щас все ломать
-
вариант, но геморно все это, не охота щас все ломать
А че геморно??? Берешь пербрасываешь 80 на машину с серы IP, меняешь настройки ДНС сервера и вуаля, у меня у самого так работало, ещё и почтовик в локале был, но потом разжился вторым IP.
-
А че геморно??? Берешь пербрасываешь 80 на машину с серы IP, меняешь настройки ДНС сервера и вуаля, у меня у самого так работало, ещё и почтовик в локале был, но потом разжился вторым IP.
Геморно в плане отделения от почтовго сервера Web-интерфейса и перенастройки оного.
В общем не подходит это для меня, нужно другое решение
-
Геморно в плане отделения от почтовго сервера Web-интерфейса и перенастройки оного.
В общем не подходит это для меня, нужно другое решение
Вебфайс я так понимаю на сквиреле или чем-то подобном сделан?
Загоняешь его на ssl (443 порт) для безопасности... Через mod_rewrite делаешь перенаправление с /webmail на https://yourdomain/webmail (https://yourdomain/webmail) а на основной садишь сайт...
Если машина слабая, то можно на этом серваке оставить статический контент, а на другой внутренний сервак пробрасывать с помощью mod_proxy или еще чего-нибудь динамический контент...
-
в общем все это не устраивает...
кто нибудь знает как еще можно (без mod_proxy) организовать виртуальные хосты используя в качестве http-сервера apache 2.x ?
-
в общем все это не устраивает...
кто нибудь знает как еще можно (без mod_proxy) организовать виртуальные хосты используя в качестве http-сервера apache 2.x ?
А чем mod_proxy не устроил?
Виртуальные хосты ты конечно организовать можешь, но пробрасывать на серые адреса тебе все-равно чем-то придется...
З.Ы. Кажеться был еще mod_deflate (в имени точно неуверен) с похожими характеристиками...
P.P.S. Ошибочка вкралась... Тут вспомнил mod_deflate сжатием занималась...
-
А чем mod_proxy не устроил?
Виртуальные хосты ты конечно организовать можешь, но пробрасывать на серые адреса тебе все-равно чем-то придется...
З.Ы. Кажеться был еще mod_deflate (в имени точно неуверен) с похожими характеристиками...
P.P.S. Ошибочка вкралась... Тут вспомнил mod_deflate сжатием занималась...
да всем меня mod_proxy устроил, кроме одного, он показывает серый адрес в итоге - к примеру в форуме предусмотрена функция бана по IP, а бан не получается т.к. любой пользователь зашедший на форум, определяется с серым IP сетевой карты шлюзового сервера (которая смотрит в локалку)
-
да всем меня mod_proxy устроил, кроме одного, он показывает серый адрес в итоге - к примеру в форуме предусмотрена функция бана по IP, а бан не получается т.к. любой пользователь зашедший на форум, определяется с серым IP сетевой карты шлюзового сервера (которая смотрит в локалку)
Разгребай заголовки... Насколько я помню существует заголовок, что-то типа X_FORWARD_FOR или что-то в этом роде... Или покопайся в настройках mod_proxy более подробно на предмет установки дополнительных ключей при передаче... Там явно где-то в faq это должно быть отображено...
З.Ы. Как вариант бан к ресурсам можно попробовать организовать на серваке с реальным адресом.