Проксирование запросов в локальную сеть

0

1

Здравствуйте. Собственно вопрос в следующем, есть железный сервер на котором крутится vmware на ней несколько виртуальных серверов, один из них на ubuntu 12.04 на котором крутится связка nginx(front-end) + apache(back-end) и несколько сайтов(назовем S1). Появилась задача поднять еще один сервер почтовый apache + ssl, который был поднят и работает(назовем S2) в сети интернет, если сделать проброс порта на роутере. Теперь вопрос, как реализовать доступ к почтовому серверу из интернет, без проброса порта на S2, чтобы редиректами занимался S1 в зависимости от запрошенного адреса? И соответственно выдавал полученный от S2 ответ. То есть задача спрятать структуру серверов за одним S1, который смотрит в интернет.

Ссылка

←	ограничение отправки email

RSYNC - права доступа на конечную директорию

→

proxy_pass, если я тебя правильно понял как раз то что тебе нужно.

anonymous_sama ★★★★★
(23.03.15 23:15:39 MSK)

Ссылка

nginx + proxy_pass по заголовку 'Host' на нужный сервер

invokercd ★★★★
(23.03.15 23:56:36 MSK)

Ответ на: комментарий от invokercd 23.03.15 23:56:36 MSK

Это был один из вариантов. На S2 apache настроен на работу по доменному имени, может в этом ошибка?

server { listen 80; (разные порты пробовал, толку никакого) server_name m.site.ru http://www.m.site.ru; location / { proxy_pass http://192.168.1.1;(тут, что только не писал и домен и IP и по порту и без, не работает и все) proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-for $proxy_add_x_forwarded_for; proxy_redirect off; } }

buges
(24.03.15 07:30:07 MSK) автор топика

Ответ на: комментарий от buges 24.03.15 07:30:07 MSK

Осиль уже www.linux.org.ru/wiki/en/Lorcode и выложи конфиги фронта с nginx

И в чем конкретно ошибка?

invokercd ★★★★
(24.03.15 14:06:25 MSK)

Ответ на: комментарий от invokercd 24.03.15 14:06:25 MSK

Прошу прощения, я тут новенький. Выдает ошибку подключения, как при не существующей странице.

server {
    listen      80;
    server_name m.site.ru;

    location / {
        proxy_pass      https://192.168.178.109:443;
        proxy_set_header Host      $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
    }
}

buges
(24.03.15 20:48:46 MSK) автор топика

Ответ на: комментарий от buges 24.03.15 20:48:46 MSK

А так https://192.168.178.109 на сервере открывается? (можешь использовать curl для теста). А так давай error и access лог.

anonymous_sama ★★★★★
(24.03.15 21:31:18 MSK)

Ответ на: комментарий от anonymous_sama 24.03.15 21:31:18 MSK

По IP адресу все работает. Немного побаловался с конфигом, теперь перенаправляет на страницу приветствия, но авторизация отказывается работать напрочь. Предполагаю, что это связано с ssl сертификатом, так как он не запрашивается при входе на главную страницу, а соответственно не перенаправляется с S2. Предполагаю, что надо выполнять запрос сертификата с S1.

Текущий конфиг:

server {
        listen 80;
        server_name m.site.ru www.m.site.ru;
        access_log /home/www/m.site.ru/log/nginx_access.log;
        error_log /home/www/m.site.ru/log/nginx_error.log;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-for $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header Connection close;
        proxy_pass_header Content-Type;
        proxy_pass_header Content-Disposition;
        proxy_pass_header Content-Length;

        try_files $uri @resize;

        location @resize
        {
        proxy_pass https://192.168.178.119:443;
        proxy_connect_timeout 60;
        proxy_send_timeout 90;
        proxy_read_timeout 90;
        proxy_redirect off;
        }
        location /
        {
        proxy_pass https://192.168.178.119:443;
        proxy_connect_timeout 60;
        proxy_send_timeout 90;
        proxy_read_timeout 90;
        proxy_redirect off;
        }
}

buges
(27.03.15 11:23:46 MSK) автор топика

Ответ на: комментарий от buges 27.03.15 11:23:46 MSK

Проблемы не вижу, кроме того, что можно было бы и обойтись и одним location. Да у тебя сейчас только одна версия сайта http:

listen 80;

Nginx совершенно без разницы с чего проксировать. Но вот в данном случае когда ты обращаешься к sitename, то на ip aдресе твоего веб-сайта слушает только 80 порт. Т.е. ssl там и помине никакого нет, и быть не может. По уму тебе надо либо делать ssl на nginx, либо полностью отказываться от apache. При этом ssl на apache тебе скорей всего не нужен.

anonymous_sama ★★★★★
(27.03.15 11:39:58 MSK)

Ответ на: комментарий от anonymous_sama 27.03.15 11:39:58 MSK

Ну второй location я включил только недавно, в целях, проверить. До этого он и был всегда за #.

На сколько я понял, речь идет о apache на почтовом серваке(S2)? Если так то у меня там NGINX, самое интересное, что там не включен SSL, а апач даже не запущен, симлинки тоже удалил специально. Но при обращении через IP запрашивает подтверждение сертификата. От куда он его тянет мне не понятно.

Конфиг NGINX с S2:

# You may add here your
# server {
#	...
# }
# statements for each of your virtual hosts to this file

##
# You should look at the following URL's in order to grasp a solid understanding
# of Nginx configuration files in order to fully unleash the power of Nginx.
# http://wiki.nginx.org/Pitfalls
# http://wiki.nginx.org/QuickStart
# http://wiki.nginx.org/Configuration
#
# Generally, you will want to move this file somewhere, and start with a clean
# file but keep this around for reference. Or just disable in sites-enabled.
#
# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
##

server {
	listen 80 default_server;
	listen [::]:80 default_server ipv6only=on;

	root /usr/share/nginx/html;
	index index.html index.htm;

	# Make site accessible from http://localhost/
	server_name m.site.ru;

	location / {
		# First attempt to serve request as file, then
		# as directory, then fall back to displaying a 404.
		try_files $uri $uri/ =404;
		# Uncomment to enable naxsi on this location
		# include /etc/nginx/naxsi.rules
	}

	# Only for nginx-naxsi used with nginx-naxsi-ui : process denied requests
	#location /RequestDenied {
	#	proxy_pass http://127.0.0.1:8080;    
	#}

	#error_page 404 /404.html;

	# redirect server error pages to the static page /50x.html
	#
	#error_page 500 502 503 504 /50x.html;
	#location = /50x.html {
	#	root /usr/share/nginx/html;
	#}

	# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
	#
	#location ~ \.php$ {
	#	fastcgi_split_path_info ^(.+\.php)(/.+)$;
	#	# NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
	#
	#	# With php5-cgi alone:
	#	fastcgi_pass 127.0.0.1:9000;
	#	# With php5-fpm:
	#	fastcgi_pass unix:/var/run/php5-fpm.sock;
	#	fastcgi_index index.php;
	#	include fastcgi_params;
	#}

	# deny access to .htaccess files, if Apache's document root
	# concurs with nginx's one
	#
	#location ~ /\.ht {
	#	deny all;
	#}
}


# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
#	listen 8000;
#	listen somename:8080;
#	server_name somename alias another.alias;
#	root html;
#	index index.html index.htm;
#
#	location / {
#		try_files $uri $uri/ =404;
#	}
#}


# HTTPS server
#
#server {
#	listen 443;
#	server_name localhost;
#
#	root html;
#	index index.html index.htm;
#
#	ssl on;
#	ssl_certificate cert.pem;
#	ssl_certificate_key cert.key;
#
#	ssl_session_timeout 5m;
#
#	ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
#	ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
#	ssl_prefer_server_ciphers on;
#
#	location / {
#		try_files $uri $uri/ =404;
#	}
#}

buges
(27.03.15 12:12:40 MSK) автор топика

Ответ на: комментарий от buges 27.03.15 12:12:40 MSK

Тут все закомментировано, и конфиг практически, соответствует, тому дефолтному конфигу где показывается тестовая страница nginx. Зачем копировать закомментированные строки, и что хотел этим показать, я не в курсе.

anonymous_sama ★★★★★
(27.03.15 12:29:56 MSK)

Ответ на: комментарий от anonymous_sama 27.03.15 12:29:56 MSK

Это конфиг NGINX на почтовом сервере, он стандартный, я сегодня с нуля установил почтовик, на другую виртуалку, думал, может проблемы в настройках старого почтовика, но нет.

Собственно вопрос, как сделать проброс с 80 на 443 порт и выдачу SSL силами NGINX S1, чтоб авторизация на S2 заработала. И еще дополнительно, как я понимаю, надо пробрасывать порты типа 25 или других на S2

buges
(27.03.15 12:50:51 MSK) автор топика

Ответ на: комментарий от buges 27.03.15 12:50:51 MSK

С гугл:
https://www.digitalocean.com/community/tutorials/how-to-configure-nginx-as-a-...
https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-certific...
Только сертификат создавай, как-то так примерно:

openssl genrsa -aes256 -out server.key 2048

Ну и если будешь делать не самоподписанный сертификат, то CA у себя создавать не надо, просто идешь с CSR к CA, и подписываешь. Сертификаты складываются как: сертификат + промежуточный/промежуточные + CA сертификат.

anonymous_sama ★★★★★
(27.03.15 13:01:26 MSK)