LINUX.ORG.RU
ФорумAdmin

Как и чем лучше сделать проброс (proxy,nat) для того чтобы скрыть реальный WEB сервер?


0

2

Как и чем лучше сделать проброс (proxy,nat) для того чтобы скрыть реальный WEB сервер? Есть реальный сервер с сайтом. Есть (условно назовем) прокси-сервер (пока не знаю с каким ПО). Как сделать проброс для запросов на основной WEB сервер через проксю, так чтобы домен сайта ссылался на интерфейс прокси? Оба сервера публичные. Какое решение лучше использовать? NAT/SQUID, или еще что-нибудь?

С уважением,

★★
Запуск Windows из-под Debian
ppp и bridge
Ответ на: комментарий от ventilator

Но ведь тогда придется размещать статику на ngnix, а светить на нем ничего нельзя. Он должен работать прозрачно.

ChAnton ★★
() автор топика 
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination server_ip
iptables -t nat -A POSTROUTING -d server_ip -p tcp --dport 80 -j SNAT --to-source proxy_ip

Не?

anonymous
()

а зачем такое понадобилось?

true_admin ★★★★★
()
Ответ на: комментарий от ChAnton

не обязательно, я тоже за вариант с nginx

Sylvia ★★★★★
()
Ответ на: комментарий от anykey_mlya

прикинь каждый раз к dns будет обращаться...

Не каждый раз, только при установке правила.

[!] -s, --source address[/mask][,...] Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel. Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea.

anonymous
()
Ответ на: комментарий от anonymous

Тоесть насколько я понимаю, разрешение происходит один раз при применении правила iptables сервером, и сервер держит соответствие ip и dns для установления сессии в каком-то своем кэше? Но в каком тогда?

ChAnton ★★
() автор топика
Ответ на: комментарий от ChAnton

> Но в каком тогда?

В памяти держит, наверное. Да и зачем соответствие, айпишник подставил и всё. К чему такие подробности?

anonymous
()
Ответ на: комментарий от anonymous

А если таких прокси несколько, а сайт один, как тогда на него трафик распеределять? Это уже подобие сетевого кластера получится)))

ChAnton ★★
() автор топика
Ответ на: комментарий от ChAnton

> А если таких прокси несколько, а сайт один, как тогда на него трафик распеределять?

А в чем проблема NAT настроить на каждом?

anonymous
()
Ответ на: комментарий от anonymous

> Не каждый раз, только при установке правила.

К сожалению, предлагаемое решение не совсем правильное. Например, если есть два домена:

domain1.com -> 1.2.3.4
и
domain2.com -> 1.2.3.4
У них одинаковые адреса. При решении через nginx (apache, lighttpd) можно корректно прописать проксирование. В случае решения через iptables будут две записи с одинаковыми IP-адресами и трафик будет «заворачиваться» на первый натированный сервак вне зависимости от домена.

Slavaz ★★★★★
()
Ответ на: комментарий от ChAnton

> А если таких прокси несколько, а сайт один, как тогда на него трафик распеределять? Это уже подобие сетевого кластера получится)))

Да, кластер балансировки нагрузки.

http://www.google.com.by/search?hl=ru&source=hp&biw=&bih=&q=apache+Proxy+bala...

Пример:
ProxyPass / balancer://mycluster/ stickysession=BALANCEID nofailover=On
<Proxy balancer://mycluster>
BalancerMember http://127.0.0.1:8080
BalancerMember http://110.10.10.10:8080
ProxySet lbmethod=byrequests
</Proxy>

Второй вариант: в DNS прописать для одного и того же доменного имени несколько адресов:
some.domain.com IN A 1.1.1.1
some.domain.com IN A 1.1.1.2
some.domain.com IN A 1.1.1.3
some.domain.com IN A 1.1.1.4


третий вариант: на роутере перед верваками (что там будет - циска?) прописать балансировку по хостам на порту.

Slavaz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Запуск Windows из-под Debian
Admin
ppp и bridge