Vice web serveru na jedné veřejné IP?

Návody a problémy s konfigurací.
Astrid
Příspěvky: 2
Registrován: 1 week ago

Vice web serveru na jedné veřejné IP?

Příspěvekod Astrid » 1 week ago

Mám dva dotazy, přičemž ten první asi nebube primárně o mikrotiku
1.
Mám routerboard na jehož eth1 mam veřejnou IP a na ostatních (eth2-9) portech v bridge LAN s privátní IP. RB pak NATuje, aby byl z LAN přístup do internetu a protože v LAN jede i web server přístupný z internetu je port 80,443 a 22 staticky routován na IP adresu toho web serveru.
Asi naprostá klasika.
Nyní musím do LAN přídat další web server a musí to být samostatný PC, žádný virtual server atd. a ten také potřebuje porty 80,443 a 22. Původně jsem chtěl novou veřejnou IP a z ní opět staticky routovat porty na nový web server. Bohužel provider nám nabídl jen 4veřejné IP za cenu, která je krapet vysoká a tak přemýšlím o náhradním řešení.
Tedy na novém serveru nejet web na 80, ale 81 SSL na 444 a SSH na 23, s tím, že tyto porty přesměruji na IP nového serveru.
s tím, že na
web server 1 by se přistupovalo https://x.y.z.z
web server 2 by se přistupovalo https://x.y.z.z:444
Doposud by s tím snad neměl být problém a pro mikrotik trivialní záležitost.
Ale i když neplánuji na webserver 2 nákup a púrovoz domeny , přesto čdo budoucna člověk nikdy neví a DNS jakjo takový neumí směrovat porty jen celé IP a tak exituej nějaká možýnost jak
https://d1.cz směrovatr na web server 1 zajsití klasický DNS záznam A
https://d2.cz směrovatr na web server 2 ?

2.
Pak bych pro novy server potřeboval poradit s pár pravidly pro směrování

Příchozí směr
veřejnáIP port 1044 přesměrovat na LokalniIP port 1044 ale jen pokud dotaz je z veřejné IP x,y nebo z

Odchozí směr z IP WS2
vše do internetu zakázat
povolit port 81, 444 všude
povilit port 7521 jen na vybrané veřejné IP a,b,c
v LAN bez omezeni

Předem děkuji za pomoc.
0 x

Dacesilian
Příspěvky: 31
Registrován: 1 year ago

Příspěvekod Dacesilian » 1 week ago

Jak jste napsal, přes DNS port nepřesměrujete. Takže to obojí můžete směrovat na jeden webserver a tam mít v Apachi redirect podle názvu na druhý webserver.
0 x

the.max
Příspěvky: 1052
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 1 week ago

Pokud by to nevadilo, tak by se dal (u Apache) použít mod_proxy. Funguje to tak, že na jednom serveru s Apachem už něco běží a dokonfiguruje se jen mod_proxy. V něm se nastaví to, že pokud přijde dotaz na určitou webovou stránku, nebo doménu, tak místo toho aby to servíroval lokálně si to nejdříve stáhne z druhého serveru (tam už mod_proxy běžet nemusí) a následně to odešle do prohlížeče.
1 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.


ludvik
Příspěvky: 3886
Registrován: 7 years ago

Příspěvekod ludvik » 1 week ago

Jak tam nastavím, že jeden z virtualhostů je na fyzicky jiném stroji?
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

the.max
Příspěvky: 1052
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 1 week ago

0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

ludvik
Příspěvky: 3886
Registrován: 7 years ago

Příspěvekod ludvik » 1 week ago

Jsem se ptal spíš goblajze na virtual hosty.

Ale pro tazatele to zase tolik neřeší, bude závislý na tom prvním serveru, což bych řekl, že nechce.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
goblajz
Příspěvky: 811
Registrován: 11 years ago
antispam: Ano

Příspěvekod goblajz » 1 week ago

Listen 92

a pak

<VirtualHost 10.1.1.2:92>
DocumentRoot "\\SERVER2\htdocs\spammer"
</VirtualHost>

nemám vyzkoušeno, ale předpokládám, že to bude fungovat...
0 x

Astrid
Příspěvky: 2
Registrován: 1 week ago

Příspěvekod Astrid » 1 week ago

Děkuji za info, přiznám se ,tohle jsem nevěděl. Zatím sice nevím zda to budu muset použít , apache na který musím nasměrovat port 80 je sice na mem železe tedy virtualu, buhužel mam v něm omezena práva ,ale snad se domluvím s jeho spravcem.

Narazil jsme ješětě na dvě drobnosti , ted už vážně o mikrotiku.
Takže mám eth router v něm je na eth1 WAN veřejná IP (v.v.v.v) ostatní je v bridge LAN (192.168.0.0, GW 192.168.0.1) s NAT

A ja potřebuji forwardovat z internetu porty na tři PC v LAN, klasika něco jako

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat comment="Pristup na HWServer 8006" dst-port=8006 in-interface=ether1 protocol=tcp to-addresses=192.168.0.10 to-ports=8006

tedy pokud přijde z internetu požadavek na PORT 8006, předat do vnitřní sítě na 192.168.0.10:8006.
Přičemž ja potřebuji na tři interní IP přesměrovat na každou 10 portu to je 30 pravidel.
Nelíbí se mi v pravidlu ta interní IP adresa, pokud server HWServer dostane jinou IP budu muset u 10 pravidel měnit IP . Myslel jsme, že půjde použit DNS Static /ip dns static add address=192.168.0.10 name=HWServer a misto IP použit HWServer, ale to mi nejde.
Jde nějak udělkat abych v případě změny IP nemusel měnit 10 pravidel,ale jen na jednom místě změnil IP?

Nebo naopak. řekněme, že chcem IP adrese 192.168.0.20 v LAN umožnit odesílat něco na portu 22 do internetu ,ale jen na server test.cz s tím, že nemužeme použít IP adresu test.cz protože se často měšní? Jak bude vypadat takové pravidlo?

Děkuji
0 x

sutrus
Příspěvky: 56
Registrován: 9 months ago

Příspěvekod sutrus » 1 week ago

Pravidlo můžeš pro každou IP udělat jenom jedno.
Zadávat jde rosah portů a IP adresu serveru dej statickou. Osobně nedoporučuji nechat serveru přidělovat adresu.
Například takto:

Kód: Vybrat vše

add action=dst-nat chain=dstnat comment="FTP" dst-port=20,21,980-990,55536-56559 in-interface-list=WAN \
    protocol=tcp to-addresses=x.x.x.x
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: sacnok a 10 hostů