so completando o apache responde para o ip q esta no source
so completando o apache responde para o ip q esta no source
e ai SDM.... e vc tentar um nat 1:1 com um alias na sua ethX, nao sei e isso pode funcionar, mas acho q sim, vc pode utilizar o SNAT em vez do MASQUERADE...
[] Dotta
ehhh.....gostei do q o visitante falo......vo tenta isso ae......agora fez sentido.....
Postado originalmente por fdotta
uahhauhuauha....cara disculpa.....mas eu num intendi nada.... ops:
SDM,
eu quis dizer para vc fazer um nat assim por ex.. ip_internet = 200.x.x.x. <=> ip_interno = 192.x.x.x e em vez de utilizar o MASQUERADE... quanto ao alias eu quis dizer para vc criar um "ip virtual" na sua ethx para vc so utilizar no apache.... ifconfig ethx:1 ip/mask....
entendeu???
[] Dotta
:twisted:
ah tah......agora intendi.....soh tem um problema......o roteador e o apache tao em computadores diferentes.....
SDM,
nao tem problema, vc faz o nat 1:1 (entende agora ), mas vc direciona para outro servidor.... ahh olha este artigo aki: http://br-linux.org/artigos/dicas_ipt.htm . Ele tem um exemplo exatamente do que te falei, um firewall em uma maquina como alias na ethx e o apache em outra maquina utilizando ip privado.....
[] Dotta
talvez ele tenha q fazer isso dotta, mas no caso de querer usar o SNAT para que o apache parece ter um ip valido, mas no caso ele precisa que o apache veja o ip valido de quem esta acessando ele
SDM talvez vc possa criar uma rota estatica no primeiro FW para q ele primeiramente consiga conversar com o apache, depois criar uma regra simples de DNAT nesse mesmo FW para que ele repasse diretamente para o apache a requisicao com o source valido, por exemplo
route add -host ip_do_apache/mask_da_net Ip_do_segundo_fw if_do_apache
ai essa regra vai no primeiro FW
iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to ip_do_apache
nao sei se fui claro na idea q eu quis passar mas teoricamente fucinona :wink:
felco
PS.: diga mais sobre a topologia fisica da sua rede para q agente entenda melhor e de uma solucao prativa e segura
acho q o problema é nat em cima nat...
[] Dotta :twisted:
fdotta....eu li aquele doc todo....mas ainda nao intendi porque eu deveria criar um alias pra interface externa....ainda mais com um IP valido (eu uso speedy, soh tenho direito a 1 ip... :lol: )
Se você quiser um outro programinha que redireciona legal também é o RINETD .
bom com um alias e o snat acho q vc nao teria mais problemas com servidor apache, pois vc nao vai fazer o mascaramento, mas sim um "roteamente" com todas a informacoes que vc precisa... mas como é speedy, vc pode tentar sem usar o alias...
[] Dotta :twisted:
ai dotta nao quero te ofende mas vc ta viajando cara, primeiro pq o NAT nao eh um roteamento e segundo pq o NAT eo problema dele, o primeiro FW da hierarquia dele esta fazendo um SNAT para que o apache receba a bendita da conexao, pq vale LEMBRAR que a conexao para chegar ao apache passa por 2 FW, q vem de fora so q em contra-partida o apache acredita que a requisicao veio do FW qndo na verdade o SOURCE(IP DE ORIGEM) nao eh o FW e sim um maquina q esta na nuvem (INTERNET) entao, concluindo, o FW (o primeiro q recebe o speedy) tem q enviar o pacote diretamente para o apache e NAO fazer NAT para o segundo FW receber o pacote e enviar pro apache! UFA q complicacao!!!!!! :?
felco
Eu sei q o NAT nao é um roteamente (por isso que coloquei entre aspas), foi so uma forma de explicar (talves nao tenha ficado tao bom quanto pensei). E quanto as FW, é por isso que eu sugeri o snat com o alias em vez o mascaramento, para enviar os pacotes diretamente para o apache enao perder a informacao... Mas nao se preocupe... vc nao me ofendeu... esta discussoes sao bastante interesantes...Postado originalmente por Anonymous
[] Dotta :twisted:
legal!
mas eu vou te dizer pq o alias nao vai funcionar, pq no caso ele precisa q o apache veja o IP de quem esta acessando ele e nao q ele proprio use um IP valido, entendeu?
eh simples na verdade eu ja saquei, o primeiro FW precisa repassar as conexoes diretamente para o apache ao invez de fazer o SNAT para o segundo FW, q ira na sequencia fazer um DNAT para o apache
assim vamos supor que a conexao venha de 200.200.200.200 para o speedy q eh 200.0.0.0
a conexao(q vem de 200.200.200.200) vai chegar no primeiro FW q tem o IP 200.0.0.0 este ira fazer um SNAT para uma maquina interna, q no caso eo segundo FW, ele ira mudar o IP de origem (o primeiro FW) de 200.200.200.200 para 192.168.0.1, entao o segundo FW recebera um a conexao acreditando q ela seja VERDADEIRAMENTE da maquina 192.168.0.1 entao sabendo que esse pacote e destinado a porta 80 ele ira fazer novamente um NAT, no caso o apache, entao ele ira mudar ip de DESTINO para o ip do apache eo apache por sua vez ira acreditar TAMBEM que o pacote vem do ip 192.168.0.1, entao o apache ira responder para o ip 192.168.0.1, enquanto a conexao faz o caminho reverso o segundo FW ira repassar somente repassar o pacote para o primeiro FW e este por sua vez ira reconhecer que esse pacote na verdade era o aquele antigo q ele alterou o SOURCE ip e ira novamente mudar o source para 200.0.0.0
acho q agora eu expliquei bem!
felco
é faz sentido o q vc falou... como havia dito antes o esquema do snat poderia funcionar... eu nao tinha certeza disso...
PS: Pq vc nao faz um cadastro aki no under... em vez de ficar como visitante
[] Dotta :twisted:
=P eu tenho eh q eu perdi a senha e to sem cliente de mail ainda, terminei de compila meu gentoo!
pow....eu to comecando a entender essa coisa de NATs da vida.....e pelo q eu entendi agora, eu NAO posso fazer um SNAT, pq senao ele vai alterar o cabecalho mudando o ip de origem e eu nao quero q isso aconteca.....eu vo ter que dar um DNAT no pacote quando ele chegar no roteador pra que ele pegue esse pacote e mande pra rede interna.....mas sem alterar o ip fonte....
eh isso??? :?:
+/- isso vc vai ter que fazer um FW para seu servidor apache...
[] Dotta :twisted:
aaahhh tahh.....entao agora que pelo jeito estamos entendidos.....qual das regras q ja postaram aki eu posso usar????
qq uma??? ops:
na verdade existe um POREM, contudo, entretanto (que falamos aqui), o seu primeiro FW oque esta no speedy, ele pode alcancar o firewall diretamente?
Em caso positivo
iptables -t nat -A PREROUTING -p tcp 80 --dport 80 -j DNAT ip_do_apache (essa regra vai no firewall que esta o speedy)
Em caso negativo
vc tera q criar uma rota estatica para o apache ou coloca uma nova placa de rede e ligar ela a um novo switch e coloca o server do apache nesse switch ou ainda coloca o apache no mesmo switch q esta o firewall, recomendo a primeira opcao. Mas a segunda opcao e a certa, no caso seria criado uma nova subrede q seria a DMZ da LAN, nela ficariam seus servers
Atencao tudo aqui e baseado no firewall q esta diretamente ligado ao speedy!!!!
felco