Vice web serveru na jedné veřejné IP?

astrid

Mám dva dotazy, přičemž ten první asi nebube primárně o mikrotiku

Mám routerboard na jehož eth1 mam veřejnou IP a na ostatních (eth2-9) portech v bridge LAN s privátní IP. RB pak NATuje, aby byl z LAN přístup do internetu a protože v LAN jede i web server přístupný z internetu je port 80,443 a 22 staticky routován na IP adresu toho web serveru.

Asi naprostá klasika.

Nyní musím do LAN přídat další web server a musí to být samostatný PC, žádný virtual server atd. a ten také potřebuje porty 80,443 a 22. Původně jsem chtěl novou veřejnou IP a z ní opět staticky routovat porty na nový web server. Bohužel provider nám nabídl jen 4veřejné IP za cenu, která je krapet vysoká a tak přemýšlím o náhradním řešení.

Tedy na novém serveru nejet web na 80, ale 81 SSL na 444 a SSH na 23, s tím, že tyto porty přesměruji na IP nového serveru.

s tím, že na

web server 1 by se přistupovalo https://x.y.z.z

web server 2 by se přistupovalo https://x.y.z.z

Doposud by s tím snad neměl být problém a pro mikrotik trivialní záležitost.

Ale i když neplánuji na webserver 2 nákup a púrovoz domeny , přesto čdo budoucna člověk nikdy neví a DNS jakjo takový neumí směrovat porty jen celé IP a tak exituej nějaká možýnost jak

https://d1.cz směrovatr na web server 1 zajsití klasický DNS záznam A

https://d2.cz směrovatr na web server 2 ?

Pak bych pro novy server potřeboval poradit s pár pravidly pro směrování

Příchozí směr

veřejnáIP port 1044 přesměrovat na LokalniIP port 1044 ale jen pokud dotaz je z veřejné IP x,y nebo z

Odchozí směr z IP WS2

vše do internetu zakázat

povolit port 81, 444 všude

povilit port 7521 jen na vybrané veřejné IP a,b,c

v LAN bez omezeni

Předem děkuji za pomoc.

dacesilian

Jak jste napsal, přes DNS port nepřesměrujete. Takže to obojí můžete směrovat na jeden webserver a tam mít v Apachi redirect podle názvu na druhý webserver.

the_max

Pokud by to nevadilo, tak by se dal (u Apache) použít mod_proxy. Funguje to tak, že na jednom serveru s Apachem už něco běží a dokonfiguruje se jen mod_proxy. V něm se nastaví to, že pokud přijde dotaz na určitou webovou stránku, nebo doménu, tak místo toho aby to servíroval lokálně si to nejdříve stáhne z druhého serveru (tam už mod_proxy běžet nemusí) a následně to odešle do prohlížeče.

goblajz

https://httpd.apache.org/docs/2.4/vhosts/examples.html

ludvik

Jak tam nastavím, že jeden z virtualhostů je na fyzicky jiném stroji?

the_max

Vždyť jsem to psal, mod_proxy https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html

ludvik

Jsem se ptal spíš goblajze na virtual hosty.

Ale pro tazatele to zase tolik neřeší, bude závislý na tom prvním serveru, což bych řekl, že nechce.

goblajz

Listen 92

a pak

DocumentRoot "\\SERVER2\htdocs\spammer"

</VirtualHost>

nemám vyzkoušeno, ale předpokládám, že to bude fungovat...

astrid

Děkuji za info, přiznám se ,tohle jsem nevěděl. Zatím sice nevím zda to budu muset použít , apache na který musím nasměrovat port 80 je sice na mem železe tedy virtualu, buhužel mam v něm omezena práva ,ale snad se domluvím s jeho spravcem.

Narazil jsme ješětě na dvě drobnosti , ted už vážně o mikrotiku.

Takže mám eth router v něm je na eth1 WAN veřejná IP (v.v.v.v) ostatní je v bridge LAN (192.168.0.0, GW 192.168.0.1) s NAT

A ja potřebuji forwardovat z internetu porty na tři PC v LAN, klasika něco jako

/ip firewall nat

add action=dst-nat chain=dstnat comment="Pristup na HWServer 8006" dst-port=8006 in-interface=ether1 protocol=tcp to-addresses=192.168.0.10 to-ports=8006

tedy pokud přijde z internetu požadavek na PORT 8006, předat do vnitřní sítě na 192.168.0.10.

Přičemž ja potřebuji na tři interní IP přesměrovat na každou 10 portu to je 30 pravidel.

Nelíbí se mi v pravidlu ta interní IP adresa, pokud server HWServer dostane jinou IP budu muset u 10 pravidel měnit IP . Myslel jsme, že půjde použit DNS Static /ip dns static add address=192.168.0.10 name=HWServer a misto IP použit HWServer, ale to mi nejde.

Jde nějak udělkat abych v případě změny IP nemusel měnit 10 pravidel,ale jen na jednom místě změnil IP?

Nebo naopak. řekněme, že chcem IP adrese 192.168.0.20 v LAN umožnit odesílat něco na portu 22 do internetu ,ale jen na server test.cz s tím, že nemužeme použít IP adresu test.cz protože se často měšní? Jak bude vypadat takové pravidlo?

Děkuji

sutrus

Pravidlo můžeš pro každou IP udělat jenom jedno.

Zadávat jde rosah portů a IP adresu serveru dej statickou. Osobně nedoporučuji nechat serveru přidělovat adresu.

Například takto:

add action=dst-nat chain=dstnat comment="FTP" dst-port=20,21,980-990,55536-56559 in-interface-list=WAN \

protocol=tcp to-addresses=x.x.x.x