1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Port 80 a NAT
« předchozí další »
Stran: [1]

Port 80 a NAT

  • 5 Odpovědí
  • 3048 Zhlédnutí

TomasP

Port 80 a NAT
« kdy: 01. 07. 2013, 15:09:39 »
Zdravím,
mám jednoduchý dotaz ohledně firewallu a NATu
Jak postavit pravidla v situaci kdy mám HTTPs server za natem
A) přístup z venku pouze přesměruji port 443 a hotovo
B) přístup ze sítě (DNS mi vrací mou public IP) - jak poskládat SRC/DST NAT, abych si nezabil přístup na internet?

Díky za navedení...
IP zaznamenána

Reklama

  • * * * * *

Pavouk106

  • *****
  • 2 400
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Port 80 a NAT
« Odpověď #1 kdy: 01. 07. 2013, 15:24:18 »
A) Z vnější IP uděláš (na routeru) na port 80 a 443 port forwarding na vnitřní IP.
B) DNS Ti musí vrátit vnitřní IP adresu. Pokud máš vlastní DNS (bind), řeší se to tím, že si uděláš vnitřní zónu (view). Tím pádem zvenčí to bude dál přes veřejnou IP, zevnitř to bude už přístup na lokální IP.

Dodatek k B) SRC/DST NAT neposkládáš tak, aby Ti to fungovalo (přístup "jakože na vnější IP", ale do vnitřní sítě). Řeš to pomocí DNS.
IP zaznamenána

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Port 80 a NAT
« Odpověď #2 kdy: 01. 07. 2013, 22:12:19 »
B) Nemusi a casto ani nemoze resolvovat na inu IP.
DNAT PREROUTING na dst bez udanaia src
FORWARD na interny ip bez udania src
+ugly hack:
SNAT, ak je DST ta verejna a SRC je z internej siete, na IP routera

request pojde na na verejnu IP, dorazi na router, router urobi SNAT na svoju ip, request pride na server, spracuje sa, odpoved sa odosle routru, router posle dalej povodnej src.

Akurat je to hodne nepekne riesenie.
IP zaznamenána

j

Re:Port 80 a NAT
« Odpověď #3 kdy: 01. 07. 2013, 22:25:46 »
Viz vejs, nejcistci je vlastni DNS na vnitrni siti, kery ti vraci privatni IPcko. Nemusis ho ani provozovat jako verejnej (=netreba pouzivat views), staci, kdyz ho klienti budou mit nastavenej jako svuj DNS(= das ho jako jedinej do DHCP pripadne RA, ale to widle neumej), a on samo bude primarne vracet odpovedi ze svych autoritativnich domen.

V horsim pripade to lze resit zaznamem do hosts (coz je realizovatelny pro par stabilnich stroju).

Resit snat je to nejhorsi co muzes delat - veskerej traffic ti pak leze pres router => pokud zijes v bludu, ze si budes uzivat lokalni gigovy site ... no tak nebudes, specielne pokud mas nejakej krabkorouter "za kilo".
IP zaznamenána

makumba

Re:Port 80 a NAT
« Odpověď #4 kdy: 03. 07. 2013, 14:41:05 »
IP zaznamenána

Reklama

  • * * * * *

TomasP

Re:Port 80 a NAT
« Odpověď #5 kdy: 03. 07. 2013, 23:41:53 »
Tak všem díky za rady, využil jsem to od PCnity, čistý překlad pomocí DNS mi nezafungoval (jedná se o NAS Synology)
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Port 80 a NAT