Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: TomasP 01. 07. 2013, 15:09:39

Název: Port 80 a NAT
Přispěvatel: TomasP 01. 07. 2013, 15:09:39

Zdravím,
mám jednoduchý dotaz ohledně firewallu a NATu
Jak postavit pravidla v situaci kdy mám HTTPs server za natem
A) přístup z venku pouze přesměruji port 443 a hotovo
B) přístup ze sítě (DNS mi vrací mou public IP) - jak poskládat SRC/DST NAT, abych si nezabil přístup na internet?

Díky za navedení...

Název: Re:Port 80 a NAT
Přispěvatel: Pavouk106 01. 07. 2013, 15:24:18

A) Z vnější IP uděláš (na routeru) na port 80 a 443 port forwarding na vnitřní IP.
B) DNS Ti musí vrátit vnitřní IP adresu. Pokud máš vlastní DNS (bind), řeší se to tím, že si uděláš vnitřní zónu (view). Tím pádem zvenčí to bude dál přes veřejnou IP, zevnitř to bude už přístup na lokální IP.

Dodatek k B) SRC/DST NAT neposkládáš tak, aby Ti to fungovalo (přístup "jakože na vnější IP", ale do vnitřní sítě). Řeš to pomocí DNS.

Název: Re:Port 80 a NAT
Přispěvatel: PCnity 01. 07. 2013, 22:12:19

B) Nemusi a casto ani nemoze resolvovat na inu IP.
DNAT PREROUTING na dst bez udanaia src
FORWARD na interny ip bez udania src
+ugly hack:
SNAT, ak je DST ta verejna a SRC je z internej siete, na IP routera

request pojde na na verejnu IP, dorazi na router, router urobi SNAT na svoju ip, request pride na server, spracuje sa, odpoved sa odosle routru, router posle dalej povodnej src.

Akurat je to hodne nepekne riesenie.

Název: Re:Port 80 a NAT
Přispěvatel: j 01. 07. 2013, 22:25:46

Viz vejs, nejcistci je vlastni DNS na vnitrni siti, kery ti vraci privatni IPcko. Nemusis ho ani provozovat jako verejnej (=netreba pouzivat views), staci, kdyz ho klienti budou mit nastavenej jako svuj DNS(= das ho jako jedinej do DHCP pripadne RA, ale to widle neumej), a on samo bude primarne vracet odpovedi ze svych autoritativnich domen.

V horsim pripade to lze resit zaznamem do hosts (coz je realizovatelny pro par stabilnich stroju).

Resit snat je to nejhorsi co muzes delat - veskerej traffic ti pak leze pres router => pokud zijes v bludu, ze si budes uzivat lokalni gigovy site ... no tak nebudes, specielne pokud mas nejakej krabkorouter "za kilo".

Název: Re:Port 80 a NAT
Přispěvatel: makumba 03. 07. 2013, 14:41:05

Případně ještě http://wiki.mikrotik.com/wiki/Hairpin_NAT

Název: Re:Port 80 a NAT
Přispěvatel: TomasP 03. 07. 2013, 23:41:53

Tak všem díky za rady, využil jsem to od PCnity, čistý překlad pomocí DNS mi nezafungoval (jedná se o NAS Synology)