AbcLinuxu:/ Poradna / Linuxová poradna / Firewall -přesměrování na adresu vnitřní sítě

Štítky: Apache, e-mail, firewally, iptables, patch, programování, proxy, sítě, SMTP, SSH, textové editory, Vim

Dotaz: Firewall -přesměrování na adresu vnitřní sítě

13.1.2006 18:14 vasek125 | skóre: 30 | Mladá Boleslav
Firewall -přesměrování na adresu vnitřní sítě

Přečteno: 188×

Odpovědět | Admin

Dá se nějak zařídit, aby firewall přesměrovával pakety určené např na vnitrni.mojedomena.cz na např. 192.168.1.5 vniřní sítě? Asi je to blbost co? Mě to funguje z portama. Ale pořád mi to vrtá hlavou. Když to rozpozná apache, proč by neměl i firewall popř. by měl existovat nějaký program, patch nebo tak něco aby šlo tohleto zařídit.

Nástroje: Začni sledovat (1) ?

Odpovědi

13.1.2006 18:36 madA | skóre: 12 | blog: fallout | electronic frontier
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

mno nevim jestli sem to spravne pochopil...
vidim to takhle:

iptables -t DNAT -A PREROUTING -d ipadresarouteru -j DNAT --to 192.168.1.5

u parametru -d je podle man iptables mozne zadat i hostname ale je uvedeno ze to nedoporucuji pouzivat

jinak asi nejlepsi info o iptables naleznete na root.cz v serialu "stavime firewall" a na underground.cz (serial o iptables/netfilter)

war is peace freedom is slavery ignorance is strenght Zabij komunistu, posílíš mír.

13.1.2006 19:14 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

ne tak jsem to nemyslel. Myslel jsem to tak že když někdo zadá doménu vnitrniip.mojedomena.cz tak se dostane na treba 192.168.1.5 a kdyz mojedomena.cz tak to zustane na serveru.

14.1.2006 22:07 _radek | skóre: 19
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Obavám se, že podobného chování lze docílit jen velmi těžko vzhledem k tomu, že klient zasílající jakýkoli požadavek na vnitrniip.mojedomena.cz se nejdříve dotáže jmenného serveru na IP adresu (ta bude pro oba případy stejná) a na tu teprve zašle svůj požadavek. Router/firewall tedy jen tezko schopen poznat, co presmerovat a co ne.

14.1.2006 22:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Router sice ne, ale nameserver ano…

14.1.2006 22:52 _radek | skóre: 19
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Tak poraďte jak na to. Vzhledem k privatnim IP adresam na vnitrni siti by se dalo predpokladat, že celá síť je připojena přes jednu veřejnou IP adresu (a NAT), k dispozici je jen ta jedna (to ale nemusi byt pravda, vím, to je jen moje deformace, nepredstavil jsem si to jinak) a proto nameserver musi poskytnout vzdy jen ji, aby se pozadavek vubec na router/firewall dostal...ale mozna se pletu?

15.1.2006 00:37 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Aha, myslel jsem, že jste o kousek dál, a ptáte se na něco trochu jiného. To, co si představujete, je nesmysl. Leda že byste na ten firewall posadil nějakou HTTP proxy, která by analyzovala hlavičky dotazů a podle toho se rozhodovala; jenže to už by bylo jednodušší dát tam rovnou toho Apache.

15.1.2006 00:55 _radek | skóre: 19
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Já si to naštěstí nepředstavuji, snažil jsem se napsat, že to nepůjde. Analýza dotazu by to řešila, ale vzhledem k tomu, že tazatel si zřejmě představuje přesměrování veškerého provozu (ne jen http) tak i to je asi nesmysl.

15.1.2006 00:50 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Raději upřesní dotaz a přidám nějaký ten příklad:

pokud se připojím na mail.domena.cz přes http tj. apache mám jiné stránky než když zadám domena.cz. A přitom vše je na jednom serveru. Tohle chování se mi hrozně líbí, ale nevím jak by se to dalo aplikovat pro firewall. Např.:

chci se připojit přes ssh na 192.168.1.5, zadám mail.domena.cz, chci se připojit na router(firewall) zadám domena.cz (jeho doménovou adresu).

--je jen jedna veřejná IP

nevím jestli je tohle možné vůbec nějak udělat, nikde jsem to neviděl, ale když to umí apache proč mi to nemělo umět i něco jiného

15.1.2006 01:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Líbit se vám to může, ale fungovat to z principu nemůže. Chce-li klientská aplikace komunikovat se serverem, který má určen jménem, zeptá se (funkce getaddrinfo() nebo starší gethostbyname()) tzv. resolveru na jeho adresu. Ve veškeré komunikaci od transportní vrstvy níže už se pak nikde doménové jméno nevyskytuje, takže není v principu možné zjistit, jaké jméno bylo použito. Jediná šance, jak rozlišit virtuální server podle jména, je v případě, že tato informace bude předána v rámci protokolu aplikační vrstvy. To umožňuje např. HTTP/1.1 nebo svým způsobem i SMTP, ale obecně nic takového neexistuje a většina protokolů aplikační vrstvy podobnou možnost nenabízí.

15.1.2006 12:28 Igor Lazo
Rozbalit Rozbalit vše Re: Firewall -přesměrování na adresu vnitřní sítě

Pouze pokud v aplikaci (napriklad prohlizeci) akceptujete zapis typu domena.cz:cislo (napriklad tedy domena.cz:7455) a budete mit forwardovan port 7455 na prislusny port na 192.168.1.5 (napriklad tedy 192.168.1.5:80 pro prohlizec)

Založit nové vlákno • Nahoru

Tiskni Sdílej: