Re: Apache NATolva
Szia!
Nalam kb ez van a tuzfal gepen:
iptables -t nat -A PREROUTING -d ${PUBLIKUSCIM} -p tcp -m tcp --dport www -j
DNAT --to-destination ${BELSOCIM}
iptables -t filter -A FORWARD -d ${BELSOCIM} -p tcp -m tcp --dport www -j ACCEPT
Igy a belso gepen szepen megjelennek a csomagok az eredeti
forrascimukkel. Visszafele a default gateway-en mennek ki,
ami a tuzfal.
On Thu, 3 Apr 2008 18:45:28 +0200
Kovács Dániel <[EMAIL PROTECTED]> wrote:
> Sziasztok!
>
> Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je,
> valamint egy belso, amint kommunikalnak egymassal.
>
> A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat
> ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B
> szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az
> 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem
> SNAT-tal, akkor pedig az A szerver kulso IP-jet latom.
>
> Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok
> eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen
> ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...)
>
> ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo
> kapcsolatokat tolja at a masikra?
>
> Elore is koszi:
>
> KoviX
> _
> linux lista - linux@mlf.linux.rulez.org
> http://mlf2.linux.rulez.org/mailman/listinfo/linux
--
Krisztian
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote: > A fel internet azt irja, hogy az apache-nek egy / tobb AddAcceptForwarder > direktivaval kell megmondani, hogy honnan fogadhatja el a fenti modul a > forwardot. > a mod_extract_forwarder.c 75. soraban pedig: "Changed from > AddAcceptForwarder ... to MEForder MEFaccept..." > > termeszetesen apache2.conf-ban egy jol iranyzott MEFaccept all utan nem csak > az apache2 logokban teszi helyre az IP-t, de a PHP REMOTE_ADDR valtozoja is > helyes lett! > na zsir, akkor ezt en is elteszem magamnak :) enis kosz :) _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Ezzel a dátummal: Thursday 03 April 2008 23.40.09 Kovács Dániel ezt írta: > Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a > HTTP-X-FORWARDED fejlec is, ez php-ben mar jo. > > Apache2-hoz a modul lefordult, betoltodott: > > Loaded Modules: > core_module (static) ... > extract_forwarded_module (shared)<<---Itt van!! ... > Syntax OK > > > De ettol meg mindig az eredeti szerver IP-je naplozodik... > Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom! > > KoviX A fel internet azt irja, hogy az apache-nek egy / tobb AddAcceptForwarder direktivaval kell megmondani, hogy honnan fogadhatja el a fenti modul a forwardot. a mod_extract_forwarder.c 75. soraban pedig: "Changed from AddAcceptForwarder ... to MEForder MEFaccept..." termeszetesen apache2.conf-ban egy jol iranyzott MEFaccept all utan nem csak az apache2 logokban teszi helyre az IP-t, de a PHP REMOTE_ADDR valtozoja is helyes lett! Megegyszer koszonom a segitseget! _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote:
> Ezzel a dátummal: Thursday 03 April 2008 22.31.18 Mihaly Zachar ezt írta:
>
>
>>> szerintem A gepre tegyel mondjuk egy apache reverse proxy-t
>>> (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt
>>> olvasgasd mondjuk a php-vel...
>>>
>>>
>> ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol
>> meg a logok is jok lesznek a hatso apache-ban:
>>
>>
>
> Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a
> HTTP-X-FORWARDED fejlec is, ez php-ben mar jo.
>
>
>
hmm, akkor kicsit elneztem, gyorsan olvastam, azthittem, hogy a poundhoz
van ez a patch, sorry...
> De ettol meg mindig az eredeti szerver IP-je naplozodik...
> Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom!
>
X-Forwarded-For a rendes neve, es ezt a fent emlitett patch nelkul is
kuldi az mod_proxy...
a logolashoz meg van egy ilyen:
|%{Foobar}i -> | The contents of |Foobar:| header line(s) in the request
sent to the server.
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#formats
szeritnem mennie kellene...
Misi
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Ezzel a dátummal: Thursday 03 April 2008 22.31.18 Mihaly Zachar ezt írta: > > szerintem A gepre tegyel mondjuk egy apache reverse proxy-t > > (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt > > olvasgasd mondjuk a php-vel... > > > ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol > meg a logok is jok lesznek a hatso apache-ban: > Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a HTTP-X-FORWARDED fejlec is, ez php-ben mar jo. Apache2-hoz a modul lefordult, betoltodott: Loaded Modules: core_module (static) log_config_module (static) logio_module (static) mpm_prefork_module (static) http_module (static) so_module (static) alias_module (shared) auth_basic_module (shared) authn_file_module (shared) authz_default_module (shared) authz_groupfile_module (shared) authz_host_module (shared) authz_user_module (shared) autoindex_module (shared) cgi_module (shared) dir_module (shared) env_module (shared) extract_forwarded_module (shared)<<---Itt van!! mime_module (shared) negotiation_module (shared) php5_module (shared) rewrite_module (shared) setenvif_module (shared) status_module (shared) Syntax OK De ettol meg mindig az eredeti szerver IP-je naplozodik... Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom! KoviX _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Mihaly Zachar wrote: > ssh tunellel: > ssh [EMAIL PROTECTED] -R80:B_ip:80 > > viszont ekkor is azt latod majd, hogy A gep kuldi a forgalmat... > > szerintem A gepre tegyel mondjuk egy apache reverse proxy-t (mod_proxy)... > ez a modul betesz egy "X-Forwarded-For" headert, ezt olvasgasd mondjuk > a php-vel... > > > Misi > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf2.linux.rulez.org/mailman/listinfo/linux > ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol meg a logok is jok lesznek a hatso apache-ban: http://www.apsis.ch/pound/pound_list/archive/2006/2006-05/1147383685000 nem probaltam... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote: > Sziasztok! > > Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je, > valamint egy belso, amint kommunikalnak egymassal. > > A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat > ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B > szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az > 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem > SNAT-tal, akkor pedig az A szerver kulso IP-jet latom. > > Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok > eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen > ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...) > > ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo > kapcsolatokat tolja at a masikra? > ssh tunellel: ssh [EMAIL PROTECTED] -R80:B_ip:80 viszont ekkor is azt latod majd, hogy A gep kuldi a forgalmat... szerintem A gepre tegyel mondjuk egy apache reverse proxy-t (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt olvasgasd mondjuk a php-vel... Misi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Apache NATolva
Sziasztok! Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je, valamint egy belso, amint kommunikalnak egymassal. A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem SNAT-tal, akkor pedig az A szerver kulso IP-jet latom. Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...) ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo kapcsolatokat tolja at a masikra? Elore is koszi: KoviX _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
