Viac ako jeden web server za verejnou IP

Viac ako jeden web server za verejnou IP
« kdy: 16. 03. 2021, 10:23:12 »
Momentalne fungujem za NAT z jednym apache serverom. Mam forward portov 443 a 80 na lokalnu IP 192.168.1.10 kde je server. Apache mam nakonfigurovany na 4 vhosty.
Teraz chcem otestovat nginx, ktory testujem na 192.168.1.11, ale neviem ako nastavit pravidlo. Ked to budem znova smerovat na 80 (resp. 443), tak ako bude paket vediet ci ma ist na 192.168.1.10, alebo na 192.168.1.11 ?


Re:Viac ako jeden web server za verejnou IP
« Odpověď #1 kdy: 16. 03. 2021, 10:32:47 »
Nijak, nejde to. Potrebujete ipv6, reverzni proxy, nebo jine porty.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #2 kdy: 16. 03. 2021, 10:41:09 »
Běžný firewall (ne aplikační) nevidí do obsahu komunikace. Vidí jen IP adresu a port. Takže musíte komunikaci přesměrovat na reverzní proxy server – ten už vidí dovnitř komunikace a na základě požadovaného názvu serveru přesměruje komunikaci na správný cílový server. Jako reverzní proxy se dá použít třeba nginx.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #3 kdy: 16. 03. 2021, 11:05:42 »
Reverzna proxy ak to ma byt natrvalo takto.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #4 kdy: 16. 03. 2021, 11:34:03 »
Chcel by som nahradit apache, nginixom (asi by som nevyuzil reverzny proxy ako nginix pred apachom, lebo mam len maly domaci servrik). A asi by bolo narocne pre mna riesit docasny reverzny proxy. To ze bezia obidva naraz je len docasne riesenie pocas testovania. V normalnej prevadzke bude vzdy len jeden. Ak sa osvedci nginix, tak apache zrusim.

Podla toho co som zistoval, tak LEMP (z php-fpm) by mal vediet teoreticky nahradit LAMP.


M_D

  • ***
  • 233
    • Zobrazit profil
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #5 kdy: 16. 03. 2021, 11:38:49 »
Pro trvalé řešení ta zmíněná reverzní proxy (jde použít cokoliv - haproxy, nginx, ... i v tom apache to jde udělat). Pokud je to jen na hraní a pokus a v roli toho NATu mám Mikrotika, tak pro HTTP umí dělat reverzní proxinu (ale nehodí se to pro nasazení do ostra) a pro HTTPS umí směrovat na základě požadavku TLS host (SNI).

Re:Viac ako jeden web server za verejnou IP
« Odpověď #6 kdy: 16. 03. 2021, 12:53:49 »
Když je to jen dočasné, nestačilo by jen přesměrovat na ten testovací server jiné porty té veřejné adresy? Pak by adresa testovacího serveru zvenku byla x.x.x.x:8080.
Používejte háčky a čárky. Bez nich se to hůř čte.

5nik

Re:Viac ako jeden web server za verejnou IP
« Odpověď #7 kdy: 16. 03. 2021, 13:08:38 »
Pro trvalé řešení ta zmíněná reverzní proxy (jde použít cokoliv - haproxy, nginx, ... i v tom apache to jde udělat). Pokud je to jen na hraní a pokus a v roli toho NATu mám Mikrotika, tak pro HTTP umí dělat reverzní proxinu (ale nehodí se to pro nasazení do ostra) a pro HTTPS umí směrovat na základě požadavku TLS host (SNI).
S tím směrováním HTTPS na Mikrotiku máte zkušenost? Je to totiž teoreticky blbost. Informaci ze SNI máte až v několikátém paketu již navázaného spojení a to už je pozdě na nějaké směrování. Jinými slovy - firewallem to řešit nelze.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #8 kdy: 16. 03. 2021, 13:14:55 »
Pro trvalé řešení ta zmíněná reverzní proxy (jde použít cokoliv - haproxy, nginx, ... i v tom apache to jde udělat). Pokud je to jen na hraní a pokus a v roli toho NATu mám Mikrotika, tak pro HTTP umí dělat reverzní proxinu (ale nehodí se to pro nasazení do ostra) a pro HTTPS umí směrovat na základě požadavku TLS host (SNI).
Nemam mk, ale pfsense. Tam je moznost squid, alebo haproxy, tak sa s tym skusim pohrat.
Když je to jen dočasné, nestačilo by jen přesměrovat na ten testovací server jiné porty té veřejné adresy? Pak by adresa testovacího serveru zvenku byla x.x.x.x:8080.
Ano je to moznost, ale obavam sa aby neboli problemy napr. pri generovani crt od letsencrypt a pod .... radsej to chcem testovat na 80 a potom 443

SB

  • ****
  • 320
    • Zobrazit profil
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #9 kdy: 17. 03. 2021, 09:50:05 »
Jen taková drobná poznámečka:
Kdyby se na implementaci hošani od webových prohlížečů nevys*ali, bývalo se to dalo řešit uvedením portů v záznamech SRV DNS.

_Jenda

  • *****
  • 955
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #10 kdy: 17. 03. 2021, 10:03:00 »
Jen taková drobná poznámečka:
Kdyby se na implementaci hošani od webových prohlížečů nevys*ali, bývalo se to dalo řešit uvedením portů v záznamech SRV DNS.
I pak bych to na produkční weby asi používat nechtěl, protože jsou různé omezené sítě, kde jsou povolené jenom „běžné“ odchozí porty, a BFU tímto způsobenou nedostupnost webu nechce a neumí řešit. Pokud je to hobby/pro odborníky, pak samozřejmě OK (ale pak klidně může odkazovat jako https://muj.web.tld:1443/).

SB

  • ****
  • 320
    • Zobrazit profil
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #11 kdy: 17. 03. 2021, 16:24:06 »
...Pokud je to hobby/pro odborníky, pak samozřejmě OK...

Tak když si dělám server, tak vím, co a proč tam mám otevřené. A vůbec jde o obecnost.

...ale pak klidně může odkazovat jako https://muj.web.tld:1443/...

Tak to je přesně případ, jak dělat ve věcech větší bordel, než je. A to nemluvím o dalších přínosech záznamu SRV jako rozdělování zátěže či více služeb pod stejným doménovým názvem.

_Jenda

  • *****
  • 955
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #12 kdy: 17. 03. 2021, 17:25:49 »
Tak když si dělám server, tak vím, co a proč tam mám otevřené.
Já mluvil o portech u uživatele. Že se uživatel nebude schopen připojit jinam než na 80 a 443.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #13 kdy: 17. 03. 2021, 21:14:34 »
Jen taková drobná poznámečka:
Kdyby se na implementaci hošani od webových prohlížečů nevys*ali, bývalo se to dalo řešit uvedením portů v záznamech SRV DNS.

No, už se vaří lepší náhrada s avizovanou podporou významnějších prohlížečů (Chrom*, Firefox, Apple): https://tools.ietf.org/id/draft-ietf-dnsop-svcb-https-02.html

Re:Viac ako jeden web server za verejnou IP
« Odpověď #14 kdy: 18. 03. 2021, 09:10:40 »
Jen taková drobná poznámečka:
Kdyby se na implementaci hošani od webových prohlížečů nevys*ali, bývalo se to dalo řešit uvedením portů v záznamech SRV DNS.

No, už se vaří lepší náhrada s avizovanou podporou významnějších prohlížečů (Chrom*, Firefox, Apple): https://tools.ietf.org/id/draft-ietf-dnsop-svcb-https-02.html

To je hezky, a jak si s tim poradi firewally?