Re: Apache NATolva
Szia! Nalam kb ez van a tuzfal gepen: iptables -t nat -A PREROUTING -d ${PUBLIKUSCIM} -p tcp -m tcp --dport www -j DNAT --to-destination ${BELSOCIM} iptables -t filter -A FORWARD -d ${BELSOCIM} -p tcp -m tcp --dport www -j ACCEPT Igy a belso gepen szepen megjelennek a csomagok az eredeti forrascimukkel. Visszafele a default gateway-en mennek ki, ami a tuzfal. On Thu, 3 Apr 2008 18:45:28 +0200 Kovács Dániel <[EMAIL PROTECTED]> wrote: > Sziasztok! > > Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je, > valamint egy belso, amint kommunikalnak egymassal. > > A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat > ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B > szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az > 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem > SNAT-tal, akkor pedig az A szerver kulso IP-jet latom. > > Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok > eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen > ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...) > > ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo > kapcsolatokat tolja at a masikra? > > Elore is koszi: > > KoviX > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf2.linux.rulez.org/mailman/listinfo/linux -- Krisztian _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote: > A fel internet azt irja, hogy az apache-nek egy / tobb AddAcceptForwarder > direktivaval kell megmondani, hogy honnan fogadhatja el a fenti modul a > forwardot. > a mod_extract_forwarder.c 75. soraban pedig: "Changed from > AddAcceptForwarder ... to MEForder MEFaccept..." > > termeszetesen apache2.conf-ban egy jol iranyzott MEFaccept all utan nem csak > az apache2 logokban teszi helyre az IP-t, de a PHP REMOTE_ADDR valtozoja is > helyes lett! > na zsir, akkor ezt en is elteszem magamnak :) enis kosz :) _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Ezzel a dátummal: Thursday 03 April 2008 23.40.09 Kovács Dániel ezt írta: > Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a > HTTP-X-FORWARDED fejlec is, ez php-ben mar jo. > > Apache2-hoz a modul lefordult, betoltodott: > > Loaded Modules: > core_module (static) ... > extract_forwarded_module (shared)<<---Itt van!! ... > Syntax OK > > > De ettol meg mindig az eredeti szerver IP-je naplozodik... > Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom! > > KoviX A fel internet azt irja, hogy az apache-nek egy / tobb AddAcceptForwarder direktivaval kell megmondani, hogy honnan fogadhatja el a fenti modul a forwardot. a mod_extract_forwarder.c 75. soraban pedig: "Changed from AddAcceptForwarder ... to MEForder MEFaccept..." termeszetesen apache2.conf-ban egy jol iranyzott MEFaccept all utan nem csak az apache2 logokban teszi helyre az IP-t, de a PHP REMOTE_ADDR valtozoja is helyes lett! Megegyszer koszonom a segitseget! _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote: > Ezzel a dátummal: Thursday 03 April 2008 22.31.18 Mihaly Zachar ezt írta: > > >>> szerintem A gepre tegyel mondjuk egy apache reverse proxy-t >>> (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt >>> olvasgasd mondjuk a php-vel... >>> >>> >> ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol >> meg a logok is jok lesznek a hatso apache-ban: >> >> > > Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a > HTTP-X-FORWARDED fejlec is, ez php-ben mar jo. > > > hmm, akkor kicsit elneztem, gyorsan olvastam, azthittem, hogy a poundhoz van ez a patch, sorry... > De ettol meg mindig az eredeti szerver IP-je naplozodik... > Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom! > X-Forwarded-For a rendes neve, es ezt a fent emlitett patch nelkul is kuldi az mod_proxy... a logolashoz meg van egy ilyen: |%{Foobar}i -> | The contents of |Foobar:| header line(s) in the request sent to the server. http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#formats szeritnem mennie kellene... Misi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Ezzel a dátummal: Thursday 03 April 2008 22.31.18 Mihaly Zachar ezt írta: > > szerintem A gepre tegyel mondjuk egy apache reverse proxy-t > > (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt > > olvasgasd mondjuk a php-vel... > > > ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol > meg a logok is jok lesznek a hatso apache-ban: > Feltettem a poundot, szepen dobalja is at a forgalmat, megjelent a HTTP-X-FORWARDED fejlec is, ez php-ben mar jo. Apache2-hoz a modul lefordult, betoltodott: Loaded Modules: core_module (static) log_config_module (static) logio_module (static) mpm_prefork_module (static) http_module (static) so_module (static) alias_module (shared) auth_basic_module (shared) authn_file_module (shared) authz_default_module (shared) authz_groupfile_module (shared) authz_host_module (shared) authz_user_module (shared) autoindex_module (shared) cgi_module (shared) dir_module (shared) env_module (shared) extract_forwarded_module (shared)<<---Itt van!! mime_module (shared) negotiation_module (shared) php5_module (shared) rewrite_module (shared) setenvif_module (shared) status_module (shared) Syntax OK De ettol meg mindig az eredeti szerver IP-je naplozodik... Mindenesetre az X-FORWARDED fejelec mar sokat jelent, koszonom! KoviX _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Mihaly Zachar wrote: > ssh tunellel: > ssh [EMAIL PROTECTED] -R80:B_ip:80 > > viszont ekkor is azt latod majd, hogy A gep kuldi a forgalmat... > > szerintem A gepre tegyel mondjuk egy apache reverse proxy-t (mod_proxy)... > ez a modul betesz egy "X-Forwarded-For" headert, ezt olvasgasd mondjuk > a php-vel... > > > Misi > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf2.linux.rulez.org/mailman/listinfo/linux > ugynezki a pound-hoz (reverse proxy / load balancer) van egy patch, ahol meg a logok is jok lesznek a hatso apache-ban: http://www.apsis.ch/pound/pound_list/archive/2006/2006-05/1147383685000 nem probaltam... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Apache NATolva
Kovács Dániel wrote: > Sziasztok! > > Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je, > valamint egy belso, amint kommunikalnak egymassal. > > A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat > ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B > szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az > 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem > SNAT-tal, akkor pedig az A szerver kulso IP-jet latom. > > Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok > eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen > ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...) > > ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo > kapcsolatokat tolja at a masikra? > ssh tunellel: ssh [EMAIL PROTECTED] -R80:B_ip:80 viszont ekkor is azt latod majd, hogy A gep kuldi a forgalmat... szerintem A gepre tegyel mondjuk egy apache reverse proxy-t (mod_proxy)... ez a modul betesz egy "X-Forwarded-For" headert, ezt olvasgasd mondjuk a php-vel... Misi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Apache NATolva
Sziasztok! Adott ket debian / stable szerver. Mindkettonek van sajat pubikus fix ip-je, valamint egy belso, amint kommunikalnak egymassal. A szerver PUBIKUS ip-jerol PREROUTING / DNAT-tal tovabbitom B szerver privat ip-jere a 80-as portot (B-n figyel az apache), es masquerading eseten a B szerveren az apache is, meg a php-is ugy erzi, hogy a remote_addr az 192.168.243.1 (masik gep belso IP-je. ), ha a masquerade-t kicserelem SNAT-tal, akkor pedig az A szerver kulso IP-jet latom. Hogyan lehetne megoldani, hogy a B szerver az A szerveren erkezo kapcsolatok eseten is a tenyleges remote peer IP-jet kapja. ( A log szerint egyetlen ember nezegeti a weblapot, de az jo sokszor, es ez nem jo...) ssh tunnellel pl. meg lehet valahogy oldani, hogy a kulso IP-re jovo kapcsolatokat tolja at a masikra? Elore is koszi: KoviX _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux