classic.ISPforum.cz

Zdravim vo spolok
riesim jeden kuriozny problem.
Na zaciatok nacrt topologie:
http://pedro4444.tym.sk/server.jpeg

Potrebujem neplaticovi presmerovat 80,443 port na php server port 80 kde mu naskoci upozornovacia stranka.
Keby som mal server pichnuty v hlavnom routri nemal by som ziadny problem to spravit cez dst-nat a nadefinovat nech urcite ip ( v address liste) prehadzuje na ip 192.168.2.2:80
Ale v tomto pripade kedze to je zapojene do rb2011 kde nemozem urobit dst-nat kvoli fast patch tak stranku uzivatelovi nezobrazi.
Predpokladam ze chyba bude pretoze paket ide na ciel inou cestou ako sa vracia..
Prva uzivatel ide na internet v hlavnom ho dst nat prehodi na server a ked sa poziadavka vracia spat tak uz to samozrejme prejde len cez RB2011.
Napada Vas nejake riesenie ako odstranit tento problem aby som nemusel v hlavnom robit src nat pretoze IP neplatica potrebujem pre identifikaciu.

To stejné tu o pár hodin dříve řešil a vyřešil někdo jiný: viewtopic.php?f=5&t=14102
Musíš v takovém případě použít kombinaci dst-nat a src-nat na té bráně.
A nebo si třeba natáhnout VLANu přes tu RB2011, aby logicky byl WWW server zapojen do brány a ne RB2011 z pohledu routingu.
Nemlžeš přesměrovat port 443 (HTTPS) na 80 (HTTP), jen 80 na 80 a 443 na 443 (ale s tím, že lidem budou prohlížeče řvát na podvodnou stránku/neplantý certifikát).

Majklik píše:To stejné tu o pár hodin dříve řešil a vyřešil někdo jiný: viewtopic.php?f=5&t=14102
Musíš v takovém případě použít kombinaci dst-nat a src-nat na té bráně.
A nebo si třeba natáhnout VLANu přes tu RB2011, aby logicky byl WWW server zapojen do brány a ne RB2011 z pohledu routingu.
Nemlžeš přesměrovat port 443 (HTTPS) na 80 (HTTP), jen 80 na 80 a 443 na 443 (ale s tím, že lidem budou prohlížeče řvát na podvodnou stránku/neplantý certifikát).

majklik ten prispevok som sledoval ale ja mam ten problem ze ja nemozem pouzit srcnat pretoze potom mi do servera pride IP hlavneho routra a ja potrebujem aby prisla v hlavicke ip neplatica, pretoze ja mam stranku neplatica kde je tlacitko na odblokovane ked si to zakaznik precita a klikne nan tak potom server posle cez api prikaz do hlavneho mikrotiku aby v addres liste zakazal jeho ip....

Preto vravim ze dost kuriozny prolbem lebo uz som skusal vseliake veci ale vysledok stale nulovy pretoze ta zdrojova ip tam musim byt a inak ma nenapadlo ako to dostat ten paket kade ja chcem...

Tak si to hoď tou VLANou. Udělej VLAN nad eth2 na hlavním routeru a pošli ji na tu síťvku v tom web serveru a skrz to si udělej spojovák /30 a máš to. Budeš muset dát tu vlan i nad eth1 a eth3 v tom RB2011 a udělat mezi nima bridge, ale to by ti fast path nemělo rozbít. V cílílovém linuxíku jen pomocí policy routingu uděláš, že co dojde tou vlanou, tak se do vlany i odpoví a půjde ti to tak zpět přes hlavní bránu. Na hlavní bráně pak ten dst nat na IPčko WWW serveru přidělené do té VLANy.

Majklik píše:Tak si to hoď tou VLANou. Udělej VLAN nad eth2 na hlavním routeru a pošli ji na tu síťvku v tom web serveru a skrz to si udělej spojovák /30 a máš to. Budeš muset dát tu vlan i nad eth1 a eth3 v tom RB2011 a udělat mezi nima bridge, ale to by ti fast path nemělo rozbít. V cílílovém linuxíku jen pomocí policy routingu uděláš, že co dojde tou vlanou, tak se do vlany i odpoví a půjde ti to tak zpět přes hlavní bránu. Na hlavní bráně pak ten dst nat na IPčko WWW serveru přidělené do té VLANy.

vidis cez Vlan by to mohlo ist ako vravis skusim sa teda s tym pohrat touto cestou diki za nakopnutie..

Jinak to jde i bez té VLANy, ale rozbije to fast path na tom portu eth3 pro příchozí provoz u RB2011. Předpoládám, že na té adrese 192.168.2.2 máš i weby jiné, než jen neplatiče. Tak pak tam přihod ještě další adresu na ten web server, Třeba 192.168.2.66/30 a přesměrovávej na hlavní bráně na adresu 192.168.2.66. Na té rb20111 pak jen to, co přijde přes port eth3 od 192.168.2.66 pomocí policy routingu pošli natvrdo na 10.65.1.1:
/ip route rule add interface=ether3 src-address=192.168.2.66 action=lookup-only-in-table table=navratneplatice
/ip route add dst-address=10.65.1.1 routing-mark=navratneplatice
/ip route add type=unreachable distance=5 routing-mark=navratneplatice
Pokud IP 192.168.2.2 slouží pouze pro neplatiče, tak můžes takto použít přímo i tu.

Majklik píše:Jinak to jde i bez té VLANy, ale rozbije to fast path na tom portu eth3 pro příchozí provoz u RB2011. Předpoládám, že na té adrese 192.168.2.2 máš i weby jiné, než jen neplatiče. Tak pak tam přihod ještě další adresu na ten web server, Třeba 192.168.2.66/30 a přesměrovávej na hlavní bráně na adresu 192.168.2.66. Na té rb20111 pak jen to, co přijde přes port eth3 od 192.168.2.66 pomocí policy routingu pošli natvrdo na 10.65.1.1:
/ip route rule add interface=ether3 src-address=192.168.2.66 action=lookup-only-in-table table=navratneplatice
/ip route add dst-address=10.65.1.1 routing-mark=navratneplatice
/ip route add type=unreachable distance=5 routing-mark=navratneplatice
Pokud IP 192.168.2.2 slouží pouze pro neplatiče, tak můžes takto použít přímo i tu.

presne ako vravis toto by bolo tiez riesenie ale rozbilo by to fast path a to nechcem.. A jasne mam tam vela webov ale vsetko ma svoj port v apache2.
A inak zamyslel som sa nad riesenym Vlan aj to nie je presne co by som potreboval pretoze potom vsetko aj ja si budem chciet nieco stiahnut zo servera pojde to cez hlavny router a to nechcem....
Ked tak uvazujem jedine co to asi vyriesi bude kombinancia toho co ty vravis vytvorenie dalsej adresy na web servery a Vlan cez hlavny a tym padom len neplatici budu chodit cez hlavny a ostatne veci kopirovanie suborov pojde len cez RB RB2011.
Alebo ta napada este lahsie riesenie???

Ten policrz routing s použitím další IP ti požene skrz hlavní oruter jen ty neplatiče, ostantí pujde normálně. A fast path to poškodí jen data přicházející tím portme eth3. Nebo dneska možná ani to už ne, už to mají možná i opraveno.
VLAN je čistější z pohledu, kdy třeba používáš dynamickoý routing, že se s tím korektněji vyrovná. Jinka ani ten VLAN bridge nepoužije fast path, ale pro těch pár neplatičů je to snad jedno (nefunguje fast path na bridge, pokud se dají VLANy do bridge, když tam jsou rovnou etherX porty, tak to jde).

Majklik píše:Ten policrz routing s použitím další IP ti požene skrz hlavní oruter jen ty neplatiče, ostantí pujde normálně. A fast path to poškodí jen data přicházející tím portme eth3. Nebo dneska možná ani to už ne, už to mají možná i opraveno.
VLAN je čistější z pohledu, kdy třeba používáš dynamickoý routing, že se s tím korektněji vyrovná. Jinka ani ten VLAN bridge nepoužije fast path, ale pro těch pár neplatičů je to snad jedno (nefunguje fast path na bridge, pokud se dají VLANy do bridge, když tam jsou rovnou etherX porty, tak to jde).

Majklik ty si hlavicka.. a vyhoda je, ze na servery mam dve sietove karty tak uvazujem to spravit cez nu. Na tej druhej nastavim napr. ako si napisal ip 192.168.2.66/30 Gw: 192.168.2.65 a ta GW adresa bude na eth5 RB2011 a na nej nastavim to prehadzovanie vsetkych spojeny z eth5 na 10.65.1.1 a bude vyhrane..)) Tymto riesenym osetrim aby teda fast patch som poskodil len na eth5 a to len pre neplaticov. Ostatne data, ktore sa budu tahat cez server pojdu cez fast....
Hned ako sa ku tomu dostanem...natiahnem kabel otestujem a dam vediet.
Kazdopadne este raz diki za tvoje opetovne nakopnutie. Ked pojdem okolo CZ a tvojho rajonu pivo ta neminie..)))

Ahoj udělej to jako já na viewtopic.php?f=5&t=14102
udělej si na tom serveru stránku na portu například XXX a na té stránce vytvoř prezentaci :

Za chvilku budete přesměrování pokud ne klikněte zde
na pozadí stránky dáš redirect to 192.168.2.2 nebo pokud si to propaguješ na dns tak název pod tlačítko zde dáš také odkaz na 192.168.2.2
přesměrování nastavíš na o sekund a je to

Klienta to přenatuje na bráně za jinou adresu a přesměruje na web na portu XXX ten ho přesměruje na ten web na který chceš ?

Je to pro tebe přijatelné řešení ?
Klient bude na PHP ověřen svojí src adresou a na to se dá stavě

edit:
napadlo mě to dnes ve sprše ani nevím jak prostě jsem si cákl vodu do obličeje a nápad byl na světě

jo je to ok až na jednu maličkatou věc. Pokud klient bude chtít "www.seznam.cz/pocasi" tak nepochodíš. Ano, přesměruje ho to ale ukáže se mu že stránka neexistuje musíš ještě zapnout rewrite na webserveru a pomocí .htaccess přesměrovat vše na konkrétní stránku... a pak ani žádný čekání na přesměrování nepotřebuješ.

No tak s tímhle moc zkušenosti nemám ani jsem to zatím nezkoušel ale jsem rád že částečně funkční a s tvým vylepšením to bude super pokud se rozhodne pro toto řešení.

frito píše:Ahoj udělej to jako já na viewtopic.php?f=5&t=14102
udělej si na tom serveru stránku na portu například XXX a na té stránce vytvoř prezentaci :

Za chvilku budete přesměrování pokud ne klikněte zde
na pozadí stránky dáš redirect to 192.168.2.2 nebo pokud si to propaguješ na dns tak název pod tlačítko zde dáš také odkaz na 192.168.2.2
přesměrování nastavíš na o sekund a je to

Klienta to přenatuje na bráně za jinou adresu a přesměruje na web na portu XXX ten ho přesměruje na ten web na který chceš ?

Je to pro tebe přijatelné řešení ?
Klient bude na PHP ověřen svojí src adresou a na to se dá stavě

edit:
napadlo mě to dnes ve sprše ani nevím jak prostě jsem si cákl vodu do obličeje a nápad byl na světě

frido ak som ta spravne pochopil to co si ty napisal znatuje zdrojovu ip adresu, alebo som ta zle pochopil pretoze ja tu zdrojovu ip adresu potrebujem aby si to klient ako som uz pisal cez api mohol odblokovat....

hapi píše:jo je to ok až na jednu maličkatou věc. Pokud klient bude chtít "www.seznam.cz/pocasi" tak nepochodíš. Ano, přesměruje ho to ale ukáže se mu že stránka neexistuje musíš ještě zapnout rewrite na webserveru a pomocí .htaccess přesměrovat vše na konkrétní stránku... a pak ani žádný čekání na přesměrování nepotřebuješ.

hapi si mi teraz presne trafil do cierneho akurat aj to riesim aby to presmerovalo aj ked tam je /nieco...
hodil som to do google
http://www.jakpsatweb.cz/server/mod-rewrite.html

skusim sa do toho vrhnut, ty to mas takto nejako v pohode spojazdene na svojom linuxovom servery???

hapi píše: .... musíš ještě zapnout rewrite na webserveru a pomocí .htaccess přesměrovat vše na konkrétní stránku...

jen mala poznamka, rewrite mod je reseni, ale nepotrebujes ho, lze to vyresit i pres ErrorDocument 404