Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21
    Visitante

    Padrão Redirecionamento decente

    so completando o apache responde para o ip q esta no source

  2. #22

    Padrão Redirecionamento decente

    e ai SDM.... e vc tentar um nat 1:1 com um alias na sua ethX, nao sei e isso pode funcionar, mas acho q sim, vc pode utilizar o SNAT em vez do MASQUERADE...

    [] Dotta

  3. #23

    Padrão Redirecionamento decente

    ehhh.....gostei do q o visitante falo......vo tenta isso ae......agora fez sentido.....



    Citação Postado originalmente por fdotta
    e ai SDM.... e vc tentar um nat 1:1 com um alias na sua ethX, nao sei e isso pode funcionar, mas acho q sim, vc pode utilizar o SNAT em vez do MASQUERADE...

    [] Dotta

    uahhauhuauha....cara disculpa.....mas eu num intendi nada.... ops:

  4. #24

    Padrão Redirecionamento decente

    SDM,

    eu quis dizer para vc fazer um nat assim por ex.. ip_internet = 200.x.x.x. <=> ip_interno = 192.x.x.x e em vez de utilizar o MASQUERADE... quanto ao alias eu quis dizer para vc criar um "ip virtual" na sua ethx para vc so utilizar no apache.... ifconfig ethx:1 ip/mask....


    entendeu???

    [] Dotta
    :twisted:

  5. #25

    Padrão Redirecionamento decente

    ah tah......agora intendi.....soh tem um problema......o roteador e o apache tao em computadores diferentes.....

  6. #26

    Padrão Redirecionamento decente

    SDM,

    nao tem problema, vc faz o nat 1:1 (entende agora ), mas vc direciona para outro servidor.... ahh olha este artigo aki: http://br-linux.org/artigos/dicas_ipt.htm . Ele tem um exemplo exatamente do que te falei, um firewall em uma maquina como alias na ethx e o apache em outra maquina utilizando ip privado.....

    [] Dotta

  7. #27
    Visitante

    Padrão Redirecionamento decente

    talvez ele tenha q fazer isso dotta, mas no caso de querer usar o SNAT para que o apache parece ter um ip valido, mas no caso ele precisa que o apache veja o ip valido de quem esta acessando ele
    SDM talvez vc possa criar uma rota estatica no primeiro FW para q ele primeiramente consiga conversar com o apache, depois criar uma regra simples de DNAT nesse mesmo FW para que ele repasse diretamente para o apache a requisicao com o source valido, por exemplo

    route add -host ip_do_apache/mask_da_net Ip_do_segundo_fw if_do_apache
    ai essa regra vai no primeiro FW
    iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to ip_do_apache

    nao sei se fui claro na idea q eu quis passar mas teoricamente fucinona :wink:

    felco

    PS.: diga mais sobre a topologia fisica da sua rede para q agente entenda melhor e de uma solucao prativa e segura

  8. #28

    Padrão Redirecionamento decente

    acho q o problema é nat em cima nat...

    [] Dotta :twisted:

  9. #29

    Padrão Redirecionamento decente

    fdotta....eu li aquele doc todo....mas ainda nao intendi porque eu deveria criar um alias pra interface externa....ainda mais com um IP valido (eu uso speedy, soh tenho direito a 1 ip... :lol: )

  10. #30
    ag_andrade
    Visitante

    Padrão Rinetd

    Se você quiser um outro programinha que redireciona legal também é o RINETD .

  11. #31

    Padrão Redirecionamento decente

    bom com um alias e o snat acho q vc nao teria mais problemas com servidor apache, pois vc nao vai fazer o mascaramento, mas sim um "roteamente" com todas a informacoes que vc precisa... mas como é speedy, vc pode tentar sem usar o alias...

    [] Dotta :twisted:

  12. #32
    Visitante

    Padrão Redirecionamento decente

    ai dotta nao quero te ofende mas vc ta viajando cara, primeiro pq o NAT nao eh um roteamento e segundo pq o NAT eo problema dele, o primeiro FW da hierarquia dele esta fazendo um SNAT para que o apache receba a bendita da conexao, pq vale LEMBRAR que a conexao para chegar ao apache passa por 2 FW, q vem de fora so q em contra-partida o apache acredita que a requisicao veio do FW qndo na verdade o SOURCE(IP DE ORIGEM) nao eh o FW e sim um maquina q esta na nuvem (INTERNET) entao, concluindo, o FW (o primeiro q recebe o speedy) tem q enviar o pacote diretamente para o apache e NAO fazer NAT para o segundo FW receber o pacote e enviar pro apache! UFA q complicacao!!!!!! :?

    felco

  13. #33

    Padrão Redirecionamento decente

    Citação Postado originalmente por Anonymous
    ai dotta nao quero te ofende mas vc ta viajando cara, primeiro pq o NAT nao eh um roteamento e segundo pq o NAT eo problema dele, o primeiro FW da hierarquia dele esta fazendo um SNAT para que o apache receba a bendita da conexao, pq vale LEMBRAR que a conexao para chegar ao apache passa por 2 FW, q vem de fora so q em contra-partida o apache acredita que a requisicao veio do FW qndo na verdade o SOURCE(IP DE ORIGEM) nao eh o FW e sim um maquina q esta na nuvem (INTERNET) entao, concluindo, o FW (o primeiro q recebe o speedy) tem q enviar o pacote diretamente para o apache e NAO fazer NAT para o segundo FW receber o pacote e enviar pro apache! UFA q complicacao!!!!!! :?

    felco
    Eu sei q o NAT nao é um roteamente (por isso que coloquei entre aspas), foi so uma forma de explicar (talves nao tenha ficado tao bom quanto pensei). E quanto as FW, é por isso que eu sugeri o snat com o alias em vez o mascaramento, para enviar os pacotes diretamente para o apache enao perder a informacao... Mas nao se preocupe... vc nao me ofendeu... esta discussoes sao bastante interesantes...

    [] Dotta :twisted:

  14. #34
    Visitante

    Padrão Redirecionamento decente

    legal!
    mas eu vou te dizer pq o alias nao vai funcionar, pq no caso ele precisa q o apache veja o IP de quem esta acessando ele e nao q ele proprio use um IP valido, entendeu?
    eh simples na verdade eu ja saquei, o primeiro FW precisa repassar as conexoes diretamente para o apache ao invez de fazer o SNAT para o segundo FW, q ira na sequencia fazer um DNAT para o apache

    assim vamos supor que a conexao venha de 200.200.200.200 para o speedy q eh 200.0.0.0
    a conexao(q vem de 200.200.200.200) vai chegar no primeiro FW q tem o IP 200.0.0.0 este ira fazer um SNAT para uma maquina interna, q no caso eo segundo FW, ele ira mudar o IP de origem (o primeiro FW) de 200.200.200.200 para 192.168.0.1, entao o segundo FW recebera um a conexao acreditando q ela seja VERDADEIRAMENTE da maquina 192.168.0.1 entao sabendo que esse pacote e destinado a porta 80 ele ira fazer novamente um NAT, no caso o apache, entao ele ira mudar ip de DESTINO para o ip do apache eo apache por sua vez ira acreditar TAMBEM que o pacote vem do ip 192.168.0.1, entao o apache ira responder para o ip 192.168.0.1, enquanto a conexao faz o caminho reverso o segundo FW ira repassar somente repassar o pacote para o primeiro FW e este por sua vez ira reconhecer que esse pacote na verdade era o aquele antigo q ele alterou o SOURCE ip e ira novamente mudar o source para 200.0.0.0

    acho q agora eu expliquei bem!



    felco

  15. #35

    Padrão Redirecionamento decente

    é faz sentido o q vc falou... como havia dito antes o esquema do snat poderia funcionar... eu nao tinha certeza disso...


    PS: Pq vc nao faz um cadastro aki no under... em vez de ficar como visitante

    [] Dotta :twisted:

  16. #36
    Visitante

    Padrão OFFTOPIC

    =P eu tenho eh q eu perdi a senha e to sem cliente de mail ainda, terminei de compila meu gentoo!

  17. #37

    Padrão Redirecionamento decente

    pow....eu to comecando a entender essa coisa de NATs da vida.....e pelo q eu entendi agora, eu NAO posso fazer um SNAT, pq senao ele vai alterar o cabecalho mudando o ip de origem e eu nao quero q isso aconteca.....eu vo ter que dar um DNAT no pacote quando ele chegar no roteador pra que ele pegue esse pacote e mande pra rede interna.....mas sem alterar o ip fonte....

    eh isso??? :?:

  18. #38

    Padrão Redirecionamento decente

    +/- isso vc vai ter que fazer um FW para seu servidor apache...

    [] Dotta :twisted:

  19. #39

    Padrão Redirecionamento decente

    aaahhh tahh.....entao agora que pelo jeito estamos entendidos.....qual das regras q ja postaram aki eu posso usar????

    qq uma??? ops:

  20. #40
    Visitante

    Padrão Redirecionamento decente

    na verdade existe um POREM, contudo, entretanto (que falamos aqui), o seu primeiro FW oque esta no speedy, ele pode alcancar o firewall diretamente?
    Em caso positivo
    iptables -t nat -A PREROUTING -p tcp 80 --dport 80 -j DNAT ip_do_apache (essa regra vai no firewall que esta o speedy)

    Em caso negativo
    vc tera q criar uma rota estatica para o apache ou coloca uma nova placa de rede e ligar ela a um novo switch e coloca o server do apache nesse switch ou ainda coloca o apache no mesmo switch q esta o firewall, recomendo a primeira opcao. Mas a segunda opcao e a certa, no caso seria criado uma nova subrede q seria a DMZ da LAN, nela ficariam seus servers
    Atencao tudo aqui e baseado no firewall q esta diretamente ligado ao speedy!!!!

    felco