classic.ISPforum.cz

Mám dva dotazy, přičemž ten první asi nebube primárně o mikrotiku
1.
Mám routerboard na jehož eth1 mam veřejnou IP a na ostatních (eth2-9) portech v bridge LAN s privátní IP. RB pak NATuje, aby byl z LAN přístup do internetu a protože v LAN jede i web server přístupný z internetu je port 80,443 a 22 staticky routován na IP adresu toho web serveru.
Asi naprostá klasika.
Nyní musím do LAN přídat další web server a musí to být samostatný PC, žádný virtual server atd. a ten také potřebuje porty 80,443 a 22. Původně jsem chtěl novou veřejnou IP a z ní opět staticky routovat porty na nový web server. Bohužel provider nám nabídl jen 4veřejné IP za cenu, která je krapet vysoká a tak přemýšlím o náhradním řešení.
Tedy na novém serveru nejet web na 80, ale 81 SSL na 444 a SSH na 23, s tím, že tyto porty přesměruji na IP nového serveru.
s tím, že na
web server 1 by se přistupovalo https://x.y.z.z
web server 2 by se přistupovalo https://x.y.z.z:444
Doposud by s tím snad neměl být problém a pro mikrotik trivialní záležitost.
Ale i když neplánuji na webserver 2 nákup a púrovoz domeny , přesto čdo budoucna člověk nikdy neví a DNS jakjo takový neumí směrovat porty jen celé IP a tak exituej nějaká možýnost jak
https://d1.cz směrovatr na web server 1 zajsití klasický DNS záznam A
https://d2.cz směrovatr na web server 2 ?

2.
Pak bych pro novy server potřeboval poradit s pár pravidly pro směrování

Příchozí směr
veřejnáIP port 1044 přesměrovat na LokalniIP port 1044 ale jen pokud dotaz je z veřejné IP x,y nebo z

Odchozí směr z IP WS2
vše do internetu zakázat
povolit port 81, 444 všude
povilit port 7521 jen na vybrané veřejné IP a,b,c
v LAN bez omezeni

Předem děkuji za pomoc.

Jak jste napsal, přes DNS port nepřesměrujete. Takže to obojí můžete směrovat na jeden webserver a tam mít v Apachi redirect podle názvu na druhý webserver.

Pokud by to nevadilo, tak by se dal (u Apache) použít mod_proxy. Funguje to tak, že na jednom serveru s Apachem už něco běží a dokonfiguruje se jen mod_proxy. V něm se nastaví to, že pokud přijde dotaz na určitou webovou stránku, nebo doménu, tak místo toho aby to servíroval lokálně si to nejdříve stáhne z druhého serveru (tam už mod_proxy běžet nemusí) a následně to odešle do prohlížeče.

Jak tam nastavím, že jeden z virtualhostů je na fyzicky jiném stroji?

Vždyť jsem to psal, mod_proxy https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html

Jsem se ptal spíš goblajze na virtual hosty.

Ale pro tazatele to zase tolik neřeší, bude závislý na tom prvním serveru, což bych řekl, že nechce.

Listen 92

a pak

<VirtualHost 10.1.1.2:92>
DocumentRoot "\\SERVER2\htdocs\spammer"
</VirtualHost>

nemám vyzkoušeno, ale předpokládám, že to bude fungovat...

Děkuji za info, přiznám se ,tohle jsem nevěděl. Zatím sice nevím zda to budu muset použít , apache na který musím nasměrovat port 80 je sice na mem železe tedy virtualu, buhužel mam v něm omezena práva ,ale snad se domluvím s jeho spravcem.

Narazil jsme ješětě na dvě drobnosti , ted už vážně o mikrotiku.
Takže mám eth router v něm je na eth1 WAN veřejná IP (v.v.v.v) ostatní je v bridge LAN (192.168.0.0, GW 192.168.0.1) s NAT

A ja potřebuji forwardovat z internetu porty na tři PC v LAN, klasika něco jako

tedy pokud přijde z internetu požadavek na PORT 8006, předat do vnitřní sítě na 192.168.0.10:8006.
Přičemž ja potřebuji na tři interní IP přesměrovat na každou 10 portu to je 30 pravidel.
Nelíbí se mi v pravidlu ta interní IP adresa, pokud server HWServer dostane jinou IP budu muset u 10 pravidel měnit IP . Myslel jsme, že půjde použit DNS Static /ip dns static add address=192.168.0.10 name=HWServer a misto IP použit HWServer, ale to mi nejde.
Jde nějak udělkat abych v případě změny IP nemusel měnit 10 pravidel,ale jen na jednom místě změnil IP?

Nebo naopak. řekněme, že chcem IP adrese 192.168.0.20 v LAN umožnit odesílat něco na portu 22 do internetu ,ale jen na server test.cz s tím, že nemužeme použít IP adresu test.cz protože se často měšní? Jak bude vypadat takové pravidlo?

Děkuji

Pravidlo můžeš pro každou IP udělat jenom jedno.
Zadávat jde rosah portů a IP adresu serveru dej statickou. Osobně nedoporučuji nechat serveru přidělovat adresu.
Například takto: