Strona 1 z 1
serwer www za routerem na zewnętrznym ip
: 12 sierpnia 2010, 17:12
autor: krzyniog
Witam.
Mam router z dwiema kartami sieciowymi. Na jednej ustawiony jest zewnętrzny adres ip a na drugiej podłączona lokalna sieć komputerowa. Na routerze ustawiony jest NAT. Chciałbym teraz do tej drugiej karty podłączyć dodatkowy komputer z serwerem WWW tak, aby był widoczny z zewnątrz pod drugim zewnętrznym adresem ip.
80.x.x.1
||
eth0
router
eth1
||
192.168.0.1/24 oraz serwer www z adresem 80.x.x.2
Proszę o pomoc w zrealizowaniu takiej konfiguracji.
: 12 sierpnia 2010, 20:40
autor: piroaa
Rozwiązanie problemu jest nat 1 do 1
Tak mi się przynajmniej wydaje
http://www.trzepak.pl/viewtopic.php?=&p=84247
Pozdrawiam.
: 12 sierpnia 2010, 22:44
autor: krzyniog
Dzięki wielkie. Tym sposobem udało mi się uruchomić serwer, ale jest jeden problem. Mianowicie bardzo wydłużył się czas oczekiwania na stronę. Po wpisaniu adresu w przeglądarce jest kilka sekund przerwy i dopiero pokazuje się stronka. Czy przyczyną tego może być NAT 1:1. Choć ostatnio zauważyłem też znaczne wydłużenie czasu logowania po ssh nawet w sieci lokalnej. Co może być przyczyną tego spowolnienia
: 12 sierpnia 2010, 23:09
autor: devu
Prawdopodobnie niepoprawne adresy DNS
: 13 sierpnia 2010, 08:04
autor: krzyniog
Raczej nie wpisy w dns są ok. Serwer bezpośrednio podłączony do sieci (czyli bez natu 1:1) działa dobrze.
Chociaż faktycznie może być coś nie tak z dns. Pierwsza strona ładuje się po kilku sekundach a odnośniki ze strony ładują się już normalnie.
A może przy tych ustawieniach trzeba coś zmienić w konfiguracji Apacha
Proszę jeszcze o sprawdzenie firewalla
Kod: Zaznacz cały
[font="]#! /bin/sh[/font]
[font="]# ¶cieżka do pliku <i>iptables</i>[/font]
[font="] IPT=/sbin/iptables[/font]
[font="]# ¶cieżka do pliku <i>modprobe</i>[/font]
[font="] MOD=/sbin/modprobe[/font]
[font="]# interfejs zewnętrzny, od strony Internetu - tylko router filtruj±cy[/font]
[font="] INT_PUB="eth1"[/font]
[font="]# interfejs wewnętrzny, od strony sieci LAN - tylko router filtruj±cy[/font]
[font="] INT_LAN="eth0"[/font]
[font="]# publiczny adres IP przypisany do zewnętrznego interfejsu - tylko router filtruj±cy[/font]
[font="] IP_PUB="80.x.x.5"[/font]
[font="]# adres IP sieci LAN - tylko router filtruj±cy[/font]
[font="] IP_LAN="192.168.19.77/24"[/font]
[font="]# (tylko router/firewall NATuj±cy)[/font]
[font="] $MOD iptable_nat[/font]
[font="]# w[/font][font="]ł[/font][font="]±czenie forwardowania pakiet[/font][font="]ó[/font][font="]w - tylko dla konfiguracji routera/bramy (dla stacji roboczej ustawiamy warto¶[/font][font="]ć[/font][font="] 0)[/font]
[font="] echo 1 > /proc/sys/net/ipv4/ip_forward[/font]
[font="] echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp[/font]
[font="]# ustawiamy domy¶ln± polityk[/font][font="]ę[/font][font="] dla poszeg[/font][font="]ó[/font][font="]lnych [/font][font="]ł[/font][font="]a[/font][font="]ń[/font][font="]cuch[/font][font="]ó[/font][font="]w[/font]
[font="]# domy¶lnie po[/font][font="]ł[/font][font="]±czenia przychodz±ce odrzucamy[/font]
[font="] $IPT -P INPUT DROP[/font]
[font="]# domy¶lnie wypuszczamy wszystko z naszego firewalla[/font]
[font="] $IPT -P OUTPUT ACCEPT[/font]
[font="]# domyslnie blokujemy przekazywanie pakiet[/font][font="]ó[/font][font="]w[/font]
[font="] $IPT -P FORWARD DROP[/font]
[font="]# czy¶cimy istniej±ce regu[/font][font="]ł[/font][font="]y w [/font][font="]ł[/font][font="]a[/font][font="]ń[/font][font="]cuchach[/font]
[font="] $IPT -F INPUT[/font]
[font="] $IPT -F OUTPUT[/font]
[font="] $IPT -F FORWARD[/font]
[font="]# czy¶cimy tablic[/font][font="]ę[/font][font="] NAT[/font]
[font="] $IPT -F -t nat[/font]
[font="]# interfejs lokalny traktujemy jako uprzywilejowany[/font]
[font="] $IPT -A INPUT -i lo -j ACCEPT[/font]
[font="] $IPT -A OUTPUT -o lo -j ACCEPT[/font]
[font="] $IPT -A FORWARD -o lo -j ACCEPT[/font]
[font="]# Blokowanie polaczen NEW z flaga inna niz syn[/font]
[font="] iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP[/font]
[font="] iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP[/font]
[font="]# Odrzucanie pakietow pofragmentowanych[/font]
[font="] iptables -A INPUT -f -j DROP[/font]
[font="] iptables -A FORWARD -f -j DROP[/font]
[font="]# Odrzucanie polaczen w stanie INVALID[/font]
[font="] iptables -A INPUT -m state --state INVALID -j DROP[/font]
[font="] iptables -A FORWARD -m state --state INVALID -j DROP[/font]
[font="]# wpuszczamy na obydwa interfejsy tylko nawi±zane i spokrewnione po[/font][font="]ł[/font][font="]±czenia (dla poszczeg[/font][font="]ó[/font][font="]lnych protoko[/font][font="]łó[/font][font="]w)[/font]
[font="] $IPT -A INPUT -p all -j ACCEPT -m state --state ESTABLISHED,RELATED[/font]
[font="]# odrzucamy przychodz±ce na interfejsy zapytania o IDENT i SOCKS z odpowiedzi± port nieosi±galny[/font]
[font="]# gdy[/font][font="]ż[/font][font="] nie mamy takich us[/font][font="]ł[/font][font="]ug (aby unikn±[/font][font="]ć[/font][font="] op[/font][font="]óĽ[/font][font="]nie[/font][font="]ń[/font][font="] w trakcie [/font][font="]ł[/font][font="]±czenia z serwerami IRC i FTP)[/font]
[font="] $IPT -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable[/font]
[font="] $IPT -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable[/font]
[font="]# pozwalamy na po[/font][font="]ł[/font][font="]±czenia z firewallem z zaufanej sieci LAN[/font]
[font="] $IPT -A INPUT -i $INT_LAN -p all -j ACCEPT -m state --state NEW[/font]
[font="]#zewnetrzneip[/font]
[font="] $IPT -t nat -I POSTROUTING -s 192.168.19.82 -d 0/0 -j SNAT --to 80.x.x.4[/font]
[font="] $IPT -t nat -I PREROUTING -s 0/0 -d 80.x.x.4 -j DNAT --to 192.168.19.82[/font]
[font="] $IPT -I FORWARD -d 80.x.x.4 -j ACCEPT[/font]
[font="] $IPT -I FORWARD -d 192.168.19.82 -j ACCEPT[/font]
[font="] $IPT -I FORWARD -s 192.168.19.82 -j ACCEPT[/font]
[font="] $IPT -I INPUT -d 80.x.x.4 -j ACCEPT[/font]
[font="] $IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 12/minute -j ACCEPT[/font]
[font="]# pozosta[/font][font="]ł[/font][font="]y ruch przychodz±cy na interfejs zewn[/font][font="]ę[/font][font="]trzny odrzucamy, gdy[/font][font="]ż[/font][font="] nie udost[/font][font="]ę[/font][font="]pniamy [/font][font="]ż[/font][font="]adnych us[/font][font="]ł[/font][font="]ug[/font]
[font="] $IPT -A INPUT -i $INT_PUB -j DROP[/font]
[font="]# pozwalamy na wpuszczanie/przekazywanie z zewn±trz do sieci tylko po[/font][font="]ł[/font][font="]±cze[/font][font="]ń[/font][font="] wcze¶niej nawi±zanych z LAN lub spokrewnionych[/font]
[font="]# dla wszystkich protoko[/font][font="]łó[/font][font="]w[/font]
[font="] $IPT -A FORWARD -i $INT_PUB -o $INT_LAN -p all -m state --state ESTABLISHED,RELATED -j ACCEPT[/font]
[font="]# wypuszczanie (przekazywanie) po[/font][font="]ł[/font][font="]±cze[/font][font="]ń[/font][font="] z sieci LAN do Internetu[/font]
[font="] $IPT -A FORWARD -i $INT_LAN -o $INT_PUB -p all -j ACCEPT[/font]
[font="]# wykonujemy translacj[/font][font="]ę[/font][font="] adres[/font][font="]ó[/font][font="]w NAT (SNAT) dla ca[/font][font="]ł[/font][font="]ej sieci - dla statycznego IP publicznego[/font]
[font="] $IPT -t nat -A POSTROUTING -o $INT_PUB -s $IP_LAN -j SNAT --to $IP_PUB[/font]
[font="]#przekierowanie na proxy [/font]
[font="]iptables -A PREROUTING -t nat -p tcp -s 192.168.19.0/24 -d ! 192.168.19.77/24 --dport 80 -j DNAT --to-destination 192.168.19.77:8080[/font]