Szerintem ha van domain név a publikus IP-hez (mindegy hogy dinamikus
vagy nem),
És nincs helyi dns bejegyzés beállítva, akkor a kliensek meg kell hogy
kapják a külső DNS szerverektől a saját router (vagy gaway linux)
publikus IP címét, ugyanúgy mintha egy másik internet kapcsolatról
próbálod. Ha mégsem, akkor ezt csak a helyi DNS forwarder, vagy DNS proxy
akadályozza meg, ha a klienseknek belső DNS IP cím van beállítva van
beállítva.
Ha a belső kliensben beállítod pl a 8.8.8.8 -at DNS szervernek, akkor a
kliens meg fogja kapni a saját gateway-od publikus ip címét ha
erre a domain névre hivatkozik a böngészöben. Innentől kezdve pedig csak
a saját gateway-ed source NAT (masquerading), és a destination NAT
(port forwarding) beállíttásától függ hogy saját címről is megcsinálja a
port forward -ot. A linuxon tűzfalon ilyenkor a csomag átmegy a source
NAT chain-en, aztán pedig a destination NAT chain-en visszafelé pedig
fordított sorrendben.
Ha ez nem megy (de egy sima SOHO routerrel így is megy),
1. akkor több domain nevet kell megadni, ami a világhálón ugyanarra az
IP-re mutat, a belső hálón pedig különböző IP-kre.
2. a belső hálón levő elérendő eszközöknek, és a gatewaynak, más
címtartományból(is) kell IP címet adni, hogy a belső kliensek a gatwayon
keresztül érjék el ezeket (és persze hozzáigazitani a port forwardot és
a belső DNS bejegyzéseket).
3. gatewayra telepített http proxival próbálkozni.
2015.12.21. 8:04 keltezéssel, Attila Kovács írta:
Úgy akarom, ahogy leírtad.
Ha nem hozom létre a DNS-ben a 'sajátdomain' zónát, akkor nincs semmi,
vagyis nem működik semmi, mert belső hálón nem tud mit kezdeni a
'sajátdomain' névvel.
A DNS-t egy kicsit rendbe kellett rakni, egy valami nem volt helyesen
megadva. Ennek az lett az eredménye, hogy most már elérem 80-as porton
lévő szolgáltatást, ha elhagyom a port átirányítást. A gondom csak az,
hogy több gépen is van a 80-as porton szolgáltatás, és mindegyiket el
kellene érnem, de így csak egyet tudok.
Biztos meg lehet csinálni, csak még nem jöttem rá hogyan.....
2015-12-21 07:49 keltezéssel, Horváth Péter írta:
2015.12.18. 13:06 keltezéssel, Attila Kovács írta:
Sziasztok!
Van egy külsős domain név, ami egy belső hálózaton lévő gépre van
átirányítva. Ezen webes szolgáltatások futnak. Hogy a belső
hálózatból a külsős domain név alatt is el tudják érni ezeket, az
itteni DNS szerverbe is fel kellett venni ezt a külsős domain nevet.
Ez idáig rendben van, a névfeloldás szépen működik.
A külsős domain névnél az egyes szolgáltatások külön portokra vannak
téve. De nem mindegyik szolgáltatás fut ugyan azon a belső hálózatos
gépen. Vagyis a külsős domain név alatt elérhető szolgáltatások,
több belső hálózatos gépen futnak. Külső hálózatból minden
szolgáltatást elérek.
A gondom az, hogy belső hálózatból nem mindegyiket. Egy synology
nas-on futó két alkalmazás közül, belső hálózaton a külsős domain
nevet használva csak azt érem el, ami külön portra lett rakva már a
nas-on is. Ami a sima 80-as proton érhető el, az nem megy. Van egy
másik gép is, konkrétan egy inverter, aminek van webes felülete, ez
szintén a 80-as porton van. Külső hálózatból elérem. A külső domain
névnél egy másik portra van átirányítva, de belső hálóról nem tudom
elérni.
Próbáltam már a tűzfalon több variációt, meg a DNS-ben is, linuxos
tűzfalról van egyébként szó, de nem tudtam rájönni, hogy mi lehet,
hol lehet a hiba.
Ha valakinek van ötlete, azt szívesen fogadom....
Attila
Gondolom belső hálóból privát IP -ről mindet eléred
http://privatipcim1:port1 módszerrel...
Viszont a belső hálóból szeretnéd elérni
http://sajátdomainname.org:port2 módszerrel,
ahol a port1 és port2 különbözik, de a gateway-en a "destination NAT"
-nál meg van adva hogy a port2-re érkező csomagokat
fordítsa privatipcim1, port1 -re.
Ha viszont meg van neked adva a DNS -ben egy lokális bejegyzés, ami a
sajátdomainname.org ra visszaad egy privát címet, akkor a
port fordítás nem fog megtörténni, mert a csomagok nem mennek a
gateway-re.
Egyébként próbáltad hogy mi van, ha nincs a saját DNS bejegyzés? Csak
mert a legtöbb SOHO router úgy is megcsinálja
a destination NAT-ot, és a masquerading -ot, ha saját publikus címe
érintett benne. Gondolom linuxnál is meg lehet ezt csinálni.
Sok esetben a routerekben van is erre egy kapcsoló 'exclude this
host' vagy hasonló elnevezéssel.
Én pl a belső hálón levő, és portforwardolt kamera NVR rögzítőt
ugyanúgy tudom lesni a belső hálóból wifi -n,
mint mobilneten keresztül, pedig csak külső domain name van beállítva
a mobil alkalmazásban.
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
