Re: iptables + apache em abaixo do Firewall
Eu achei que o que ele queria fazer era justamente isso, balanceamento de carga. Se não, desconsidere minhas mensagens anteriores. Abraços 2011/4/10 Eden Cardim edencar...@gmail.com: Pedro == Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com writes: Pedro Você pode criar duas entradas no dns, por exemplo: Pedro teste IN A 10.1.1.1 Pedro teste IN A 10.1.1.2 Pedro E no firewall você direciona as conexões para teste. A cada consulta o Pedro dns vai retornar um ip diferente. Mas round-robin vai distribuir a carga e exigir que ambos os servers apache sejam idênticos (senão o usuário final vai ver dois sites arbitrariamente diferentes no mesmo hostname), se for servir dois sistemas diferentes, não pode usar round-robin. Com o apache, tendo as entradas corretas de DNS (site1.com.br e site2.com.br apontando pro mesmo IP onde fica o firewall), você pode usar uma combinação de Proxy e Virtual Hosts para servir sistemas diferentes no mesmo IP, vide http://httpd.apache.org/docs/2.0/vhosts/examples.html#proxy Então seriam 3 apaches, dois escutando em portas ou ips diferentes, e um pra fazer o proxy reverso da requisição. Algo asssim [1]: ,[ apache proxy em 192.168.111.1 ] | VirtualHost 192.168.111.1 | ProxyPreserveHost On | ProxyPass / http://192.168.111.101/ | ProxyPassReverse / http://192.168.111.101/ | ServerName site1.com.br | /VirtualHost | | VirtualHost 192.168.111.1 | ProxyPreserveHost On | ProxyPass / http://192.168.111.102/ | ProxyPassReverse / http://192.168.111.102/ | ServerName site2.com.br | /VirtualHost ` ,[ apache servindo site1.com.br no ip 192.168.111.101 ] | VirtualHost 192.168.111.101 | ServerName site1.com.br | DocumentRoot /var/lib/www/site1 | /VirtualHost ` ,[ apache servindo site2.com.br no ip 192.168.111.102 ] | VirtualHost 192.168.111.102 | ServerName site2.com.br | DocumentRoot /var/lib/www/site2 | /VirtualHost ` Esse tipo de coisa é bem melhor centralizar na mesma camada, fica mais fácil de manter. Por exemplo, pra servir um site3.com.br no mesmo apache que o site2.com.br é só acrescentar: ,[ apache servindo site3.com.br no ip 192.168.111.102 ] | VirtualHost 192.168.111.102 | ServerName site3.com.br | DocumentRoot /var/lib/www/site3 | /VirtualHost ` [1] - Não testei as configurações acima, talvez precisem de algum ajuste pra funcionar, como de praxe, YMMV. -- Eden Cardim Software Engineer edencardim.com +55 73 9986-3963 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87fwppzvwb@gmail.com -- Pedro Eugênio Rocha Linux user #473848 Mestrado em Informática - UFPR Técnico Judiciário - TRE-PR -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTi=sb3ha-dp3aef4vfcghoeabej...@mail.gmail.com
Re: iptables + apache em abaixo do Firewall
Pedro == Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com writes: Pedro Você pode criar duas entradas no dns, por exemplo: Pedro teste IN A 10.1.1.1 Pedro teste IN A 10.1.1.2 Pedro E no firewall você direciona as conexões para teste. A cada consulta o Pedro dns vai retornar um ip diferente. Mas round-robin vai distribuir a carga e exigir que ambos os servers apache sejam idênticos (senão o usuário final vai ver dois sites arbitrariamente diferentes no mesmo hostname), se for servir dois sistemas diferentes, não pode usar round-robin. Com o apache, tendo as entradas corretas de DNS (site1.com.br e site2.com.br apontando pro mesmo IP onde fica o firewall), você pode usar uma combinação de Proxy e Virtual Hosts para servir sistemas diferentes no mesmo IP, vide http://httpd.apache.org/docs/2.0/vhosts/examples.html#proxy Então seriam 3 apaches, dois escutando em portas ou ips diferentes, e um pra fazer o proxy reverso da requisição. Algo asssim [1]: ,[ apache proxy em 192.168.111.1 ] | VirtualHost 192.168.111.1 | ProxyPreserveHost On | ProxyPass / http://192.168.111.101/ | ProxyPassReverse / http://192.168.111.101/ | ServerName site1.com.br | /VirtualHost | | VirtualHost 192.168.111.1 | ProxyPreserveHost On | ProxyPass / http://192.168.111.102/ | ProxyPassReverse / http://192.168.111.102/ | ServerName site2.com.br | /VirtualHost ` ,[ apache servindo site1.com.br no ip 192.168.111.101 ] | VirtualHost 192.168.111.101 | ServerName site1.com.br | DocumentRoot /var/lib/www/site1 | /VirtualHost ` ,[ apache servindo site2.com.br no ip 192.168.111.102 ] | VirtualHost 192.168.111.102 | ServerName site2.com.br | DocumentRoot /var/lib/www/site2 | /VirtualHost ` Esse tipo de coisa é bem melhor centralizar na mesma camada, fica mais fácil de manter. Por exemplo, pra servir um site3.com.br no mesmo apache que o site2.com.br é só acrescentar: ,[ apache servindo site3.com.br no ip 192.168.111.102 ] | VirtualHost 192.168.111.102 | ServerName site3.com.br | DocumentRoot /var/lib/www/site3 | /VirtualHost ` [1] - Não testei as configurações acima, talvez precisem de algum ajuste pra funcionar, como de praxe, YMMV. -- Eden Cardim Software Engineer edencardim.com +55 73 9986-3963 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87fwppzvwb@gmail.com
Re: iptables + apache em abaixo do Firewall
Eu nunca testei round-robin como utilizar isso? Marcos é bem simples, estou terminando de fazer alguns ajustes, assim que terminar vou colocar no meu blog. Abraços. Att, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qui, 7/4/11, Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com escreveu: De: Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, Eden Caldas edencal...@gmail.com, debian-user-portuguese@lists.debian.org Data: Quinta-feira, 7 de Abril de 2011, 17:17 Elton, Outra possível solução seria criar um mesmo nome para as duas máquinas e usar o round-robin do dns. Abraços 2011/4/7 Marcos Carraro marcos.g.carr...@gmail.com vou ficar de olho para ver como solucionou o problema. -- att Marcos Carraro Linux user #511627 Em 7 de abril de 2011 10:34, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu blog (www.eltonlima.com.br) Abraços, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Eden Caldas edencal...@gmail.com escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS
Re: iptables + apache em abaixo do Firewall
Elton, Você pode criar duas entradas no dns, por exemplo: teste IN A 10.1.1.1 teste IN A 10.1.1.2 E no firewall você direciona as conexões para teste. A cada consulta o dns vai retornar um ip diferente. Abraços 2011/4/8 Elton Lima eltl...@yahoo.com.br Eu nunca testei round-robin como utilizar isso? Marcos é bem simples, estou terminando de fazer alguns ajustes, assim que terminar vou colocar no meu blog. Abraços. Att, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qui, 7/4/11, Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com*escreveu: De: Pedro Eugênio Rocha pedro.eugenio.ro...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, Eden Caldas edencal...@gmail.com, debian-user-portuguese@lists.debian.org Data: Quinta-feira, 7 de Abril de 2011, 17:17 Elton, Outra possível solução seria criar um mesmo nome para as duas máquinas e usar o round-robin do dns. Abraços 2011/4/7 Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com vou ficar de olho para ver como solucionou o problema. -- att Marcos Carraro Linux user #511627 Em 7 de abril de 2011 10:34, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Olá amigos, Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu blog (www.eltonlima.com.br) Abraços, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Eden Caldas edencal...@gmail.comhttp://mc/compose?to=edencal...@gmail.com * escreveu: De: Eden Caldas edencal...@gmail.comhttp://mc/compose?to=edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br http://mc/compose?to=e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15
Re: iptables + apache em abaixo do Firewall
Olá Marcos e Eden e amigos. Então não tenho 2 ips públicos apenas 1 que já está configurado no FW, o que tenho é 2 webserver embaixo do FW usando a mesma porta 80. Marcos a regra funciona mas apenas com 1 ip público eu gostaria de usar dois servidores web através de 1 ip publico, não sei se existe outra solução é acho que é uma grande dúvida de muitos na comunidade. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Eden Caldas edencal...@gmail.com escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
Buenas... Tche, me corrijam se estou errado não daria para utilizar um no-ip na jogada??? Estou pensando, não sei se rola... ip 1 site 1 no ip site 2 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 http://192.168.16.1/ -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.2:80 http://192.168.16.1/ -d NO-IP iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s NO-IP -- att Marcos Carraro Linux user #511627 Em 7 de abril de 2011 09:15, Elton Lima eltl...@yahoo.com.br escreveu: Olá Marcos e Eden e amigos. Então não tenho 2 ips públicos apenas 1 que já está configurado no FW, o que tenho é 2 webserver embaixo do FW usando a mesma porta 80. Marcos a regra funciona mas apenas com 1 ip público eu gostaria de usar dois servidores web através de 1 ip publico, não sei se existe outra solução é acho que é uma grande dúvida de muitos na comunidade. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Eden Caldas edencal...@gmail.com* escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br http://mc/compose?to=e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose
Re: iptables + apache em abaixo do Firewall
Olá amigos, Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu blog (www.eltonlima.com.br) Abraços, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Eden Caldas edencal...@gmail.com escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
vou ficar de olho para ver como solucionou o problema. -- att Marcos Carraro Linux user #511627 Em 7 de abril de 2011 10:34, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu blog (www.eltonlima.com.br) Abraços, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Eden Caldas edencal...@gmail.com* escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br http://mc/compose?to=e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.brhttp://mc/compose
Re: iptables + apache em abaixo do Firewall
Elton, Outra possível solução seria criar um mesmo nome para as duas máquinas e usar o round-robin do dns. Abraços 2011/4/7 Marcos Carraro marcos.g.carr...@gmail.com vou ficar de olho para ver como solucionou o problema. -- att Marcos Carraro Linux user #511627 Em 7 de abril de 2011 10:34, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu blog (www.eltonlima.com.br) Abraços, Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Eden Caldas edencal...@gmail.com* escreveu: De: Eden Caldas edencal...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Marcos Carraro marcos.g.carr...@gmail.com Cc: Elton Lima eltl...@yahoo.com.br, debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 19:13 Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br http://mc/compose?to=e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com escreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar
Re: iptables + apache em abaixo do Firewall
Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com*escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com*escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.
Re: iptables + apache em abaixo do Firewall
Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de internet) não vai dar pra funcionar ambos os webservers na porta 80. Terá que ser em portas diferentes. Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra cada site. Exemplo: Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1 Site2 IP público 200.200.200.202 IP Privado 192.168.0.2 Regra DNAT Site1 iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 192.168.0.1 Regra DNAT Site2 iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 192.168.0.2 É possível ainda que precise liberar o acesso na tabela filter dependendo das regras ai, então: iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 6 de abril de 2011 18:55, Marcos Carraro marcos.g.carr...@gmail.comescreveu: Buenas... tenta desta maneira. iptables -t nat -A PREROUTING -p tcp -d ip_host --dport 80 -j DNAT --to ip_server2 Pois cada site deve ter um IP correto? -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 16:08, Elton Lima eltl...@yahoo.com.br escreveu: Marcos e amigos,, Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria possível realizar esse ação. =) Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com // eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.com*escreveu: De: Marcos Carraro marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 15:41 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.16.1:80 -d 200.180.219.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129 Algo assim, mas no caso da porta, usa o IP... -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:36, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Marcos, Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria esse redirect no iptables. Manda mais detalhes, obrigado. Elton Lima Analista de Suporte Tel: +55 21 8714-3381 E-mail: elton...@gmail.com http://mc/compose?to=elton...@gmail.com // eltl...@yahoo.com.br http://mc/compose?to=eltl...@yahoo.com.br Site: http://www.eltonlima.com --- Em *qua, 6/4/11, Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com * escreveu: De: Marcos Carraro marcos.g.carr...@gmail.comhttp://mc/compose?to=marcos.g.carr...@gmail.com Assunto: Re: iptables + apache em abaixo do Firewall Para: Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.orghttp://mc/compose?to=debian-user-portuguese@lists.debian.org Data: Quarta-feira, 6 de Abril de 2011, 13:28 Cara faz um nat para os IPS quando chegar requisição para o site 1 redirect to 192.168.16.1 quando chegar requisição para o site 2 redirect to 192.168.16.2 -- att Marcos Carraro Linux user #511627 Em 6 de abril de 2011 13:07, Elton Lima eltl...@yahoo.com.brhttp://mc/compose?to=eltl...@yahoo.com.br escreveu: Olá amigos, Eu tenho uma dúvida muito grante e gostaria de uma ajuda. É o seguinte como faço para ter 2 servidores (apache) abaixo de um firewall iptables? Como posso diferenciar as requisições que chegam no firewall. INT --- FW --- APACHE01:80 (site1.com.br) | -- APACHE02:80 (site2.com.br) Como fazer o navegador entender que uma requisição vai para o site que está no apache01 e outro site no apache02 ambos utilizam a mesmo porta(80). Abraços a todos.