Re: тунель для Apache
проблема в том что inserv находится не в той сети, в которой находится deb.com ну эт тоже самое что я имея доступ к debian.org со соей локальной машины с айпи 10.1.1.1 , которая ходит через маршрутизатор, находящийся вне моего ведения, решу сделать так, чтобы клиенты вводя , например, debian.org: попадали на мой веб сервер 10.1.1.1:80. Т.е. запрс проходил бы так: браузер клиента --- debian.org: --- Internet --- мой_маршрутизатор --- 10.1.1.1:80 на мой_маршрутизатор сделать ниче нельзя. получается что туннель типа ssh -R 8080:localhost:80 debian.org -N необходим (насколько я понимаю) и нужно как то реализовать, чтобы запросы приходящие на debian.org: направлялись на localhost:8080 который открыт туннелем, т.е. вот такая схема: браузер клиента --- [debian.org: - localhost:8080] --- ssh-туннель --- 10.1.1.1:80
Re: тунель для Apache
В сообщении от 22 Июнь 2007 13:13 Alexey Mikhailov написал(a): существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? А компьютер-то один или разные? Хотя в общем и так и так можно пробросить порт через ssh :) -- Макс -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
В сообщении от 22 Июнь 2007 13:31 Alexey Mikhailov написал(a): компы разные а как это сдлать? (через ssh) типа как ssh тунель? ssh -R :localhost:22 [EMAIL PROTECTED] т.е. ssh -R :localhost:80 [EMAIL PROTECTED] так? Ну да :) -- Макс -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
запуск скрипта туннеля можно прописать в inittab c опцией respawn чтоб подымался я прилепил рисунок к письму с схемой, которую нужно реализовать В Птн, 22.06.2007, в 12:58, Aleksey Luzin пишет: Лучше все-таки через iptables. ssh может по разным причинам упасть, а iptablesу все пофигу Alexey Mikhailov wrote: компы разные а как это сдлать? (через ssh) типа как ssh тунель? ssh -R :localhost:22 [EMAIL PROTECTED] т.е. ssh -R :localhost:80 [EMAIL PROTECTED] так? В Птн, 22.06.2007, в 12:22, Max Dmitrichenko пишет: В сообщении от 22 Июнь 2007 13:13 Alexey Mikhailov написал(a): существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? А компьютер-то один или разные? Хотя в общем и так и так можно пробросить порт через ssh :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] attachment: exmpl.png
Re: тунель для Apache
да , и с deb.com нельзя прямо попасть в локальную сеть, в которой находится inserv например для доступа из deb.com на inserv по ssh используется поднятый на inserv ssh-туннель: ssh -R :localhost:22 [EMAIL PROTECTED] -N В Птн, 22.06.2007, в 12:28, Oleg Rybnikov пишет: Alexey Mikhailov пишет: существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? iptables -t nat -I PREROUTING -p tcp -d WAN ip deb.com --dport -j DNAT --to-destination ip inserv:80 возможно еще понадобится iptables -t nat -I POSTROUTING -p tcp -d ip inserv --dport 80 -j SNAT --to-source LAN ip deb.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
Alexey Mikhailov пишет: существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? iptables -t nat -I PREROUTING -p tcp -d WAN ip deb.com --dport -j DNAT --to-destination ip inserv:80 возможно еще понадобится iptables -t nat -I POSTROUTING -p tcp -d ip inserv --dport 80 -j SNAT --to-source LAN ip deb.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
компы разные а как это сдлать? (через ssh) типа как ssh тунель? ssh -R :localhost:22 [EMAIL PROTECTED] т.е. ssh -R :localhost:80 [EMAIL PROTECTED] так? В Птн, 22.06.2007, в 12:22, Max Dmitrichenko пишет: В сообщении от 22 Июнь 2007 13:13 Alexey Mikhailov написал(a): существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? А компьютер-то один или разные? Хотя в общем и так и так можно пробросить порт через ssh :) -- Макс -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
Лучше все-таки через iptables. ssh может по разным причинам упасть, а iptablesу все пофигу Alexey Mikhailov wrote: компы разные а как это сдлать? (через ssh) типа как ssh тунель? ssh -R :localhost:22 [EMAIL PROTECTED] т.е. ssh -R :localhost:80 [EMAIL PROTECTED] так? В Птн, 22.06.2007, в 12:22, Max Dmitrichenko пишет: В сообщении от 22 Июнь 2007 13:13 Alexey Mikhailov написал(a): существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? А компьютер-то один или разные? Хотя в общем и так и так можно пробросить порт через ssh :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
Alexey Mikhailov пишет: существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? openvpn (если действительно нужен туннель) squid (если нужно на 1 реальный IP посадить несколько спрятанных серверов. правда, потребуется махинация с DNS-сервером) -- Игорь Чумак, системный администратор Generali-Garant tel (044) 206-88-20 icq 24049904 jabber: [EMAIL PROTECTED] e-mail: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
Игорь Чумак wrote: Alexey Mikhailov пишет: существует внутрений веб-сервер (с локальным айпишником, имя inserv), который стоит за сервером с внешним айпишником (например, с имененм deb.com) задача состоит в том чтобы при вводе из вне адреса http://deb.com: клиенту выводилось содержимое внутреннего сервера http://inserv:80 как это можно реализовать? openvpn (если действительно нужен туннель) squid (если нужно на 1 реальный IP посадить несколько спрятанных серверов. правда, потребуется махинация с DNS-сервером) Зачем городить огород из openvpn и squid.. человек спршивает об элементарном пробросе портов средствами того же iptables. Всё. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: тунель для Apache
Если действительно с deb.com не видно inserv, который непонятно в какой локалной сети, то лучше всего из inserv (клиент) установить именно openvpn соединение с deb.com и получить локальный ip адрес из сети сервера (192...). На deb.com сделать туннель в iptables deb.com:-192.168.xx.xx Стоит не забыть дать статический внутренний ip адрес (192..) клиенту используя ccd (push) директиву openvpn. авторизацию для openvpn удобнее всего сделать на x509 Как это сделать очень популярно объясненно на opennet.ru -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]