coś więcej niż routing ... ? (squid na innej maszynie, apache port 80 z LANu)

Krzysiek Taraszka dzimi w pld.org.pl
Czw, 8 Maj 2003, 23:26:46 CEST


Dnia czw 8. maj 2003 23:12, Andrzej Szombierski napisał:
> On Thu, 8 May 2003, Krzysiek Taraszka wrote:
> > Witam,
> > jako iż nie jestem expertem w dziedzinie zaawansowanego routingu w
> > linuksie mam pytanie, tzn mam tez do niego rozwiąznie, ale wolę zapytać
> > niż potem zalowac i cos spieprzyc :)
> > problem jest taki:
> > mam problem z dostępem do mojego serwera na port 80 (z LANu). Zdanie moze
> > brzmi idiotycznie ale tak jest, calość za sprawą ustawionego routingu na
> > zdalnego squida stojącego po drogiej stronie tunelu. I teraz zaczynają
> > się schody, bo wszelkiego rodzaju zapytania o 192.168.100.1 port 80
> > wylatują "w powietrze" a zapytania o domena port 80 lecą niepotrzebnie
> > przez tunel. Teoretycznie myslalem, ze rozwiązanie powinno byc banalne,
> > redirect zapytan o nr_ip_zewnętrzny port 80 na lokalny port 80.
> > [...]
> > Oczywiscie drogi port wytnę sobię na eth1 aby byl reject jako zapytania
> > ze swiata (przeciez moją dedykowany port 80 ....)
>
> albo czegoś nie rozumiem albo za dużo kombinujesz :)
> Bo wydaje mi się, że wystarczy ustawić na tej maszynie, która redirectuje
> odwołania na port 80 do tunelu, żeby nie tykała pakietów do/od tego
> serwera z którym są problemy.
:)
ale tyka ..

> Czy to jest ten sam komp?
> I w końcu jaką metodą przekierowujesz ten ruch?

ipchains -A input -p tcp -s 192.168.100.0/255.255.255.0 -d 0.0.0.0/0 80 -j 
REDIRECT 8080
6tunnel -4 8080 192.168.0.12 3128

tak to wygląda (gdzie 192.168.0.12 to droga koncowka tunelu vtun).
i do tego tunela wpadają rownież zapytania o mojadomena.pl, gdzie 
mojadomena.pl = moj serwer.
Jedyne moje logiczne rozwiazanie to:
ipchains -A input -p tcp -s 192.168.100.0/255.255.255.0 -d moj_zew_IP/0 80 -j 
REDIRECT jakis_port_na_ktorym_slucha_apache!=80

ale teraz rodzi sie problem, czy apache moze pracowac na dwoch portach i jesli 
moze to pewnie port powyzej 1024 mi zostaje :) i jesli moze pracowac na tych 
dwoch roznych portach to JTZ ? dwa demony zabindowane do portu czy moze jakas 
znosna opcja w httpd.conf ?

Chyba ze jest inne rozwiazanie tego problemu o ktorym nie wiem ...

-- 
Krzysiek Taraszka			(dzimi w pld.org.pl)
http://cyborg.kernel.pl/~dzimi/



Więcej informacji o liście dyskusyjnej pld-users-pl