❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

rozlišení vnějšího a vnitřního provozu na rev. proxy

Místo, kde žádná otázka není hloupá.
Odpovědět
TheITman
Příspěvky: 98
Registrován: 8 years ago

rozlišení vnějšího a vnitřního provozu na rev. proxy

Příspěvekod TheITman » 8 years ago

Zdravím,
chci poprosit o pomoc, mám v síti zařazená reverzní proxy server (NGINX, UBUNTU 16.04), na ten jsou NATovány veškeré požadavky na www. stránky naší domény z veřejné IP ale zároveň na tuto proxy odkazuje i lokální dns server (BIND9, stejný server). A teď problém který ne a ne vyřešit, jde o to, že chci aby v lokální síti byly všechny služby a administrace dostupné nikoli pod ip adrsou a portem ale třeba pod admin1.domena.cz admin2.domena.cz atd jenže pokud na rev. proxy nastavím tyto záznamy tak (logicky) budu mít na tyto služby přístup i z venku a to nechci chci aby tyto služby byly dostupné pouze v LAN, řešil bych to na základě zdrojové ip, pokud je v rozsahu, 192.168.0.0/24 vrátí požadovanou službu pokud nebude v tomto rozsahu tak zamítne připojení nebo třeba přesměruje na hlavní web. Ale nevím jak toto na té proxy vyřešit, řešil jste to někdo, nebo jak to máte řešené vy? díky. jinak před proxy je EDGErouter na kterém běží nat a firewall a před ním je ještě jeden EDGE na kterém je již na WAN veřejná IP a opět NATuje a běží firewall.
0 x
Nahoru
Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 20 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 8 years ago

Interní provoz by se dal hnát přes sekundární reverzní proxy (4443), pěkně by se s tím pracovalo ve firewallu. SSL certifikáty se dají sdílet pro obě reverzní proxy. Možností je více. Jinak na sekundární proxy není nutné rozjíždět na nginxu, stačí lehkonožka caddy (https://caddyserver.com/docs/proxy).
0 x
Nahoru
Uživatelský avatar
LaCosta
Příspěvky: 168
Registrován: 19 years ago
Kontaktovat uživatele:
Kontaktovat uživatele LaCosta

Příspěvekod LaCosta » 8 years ago

Teoreticky by postacilo pouzit "view" v binde9 ... Ak sa jedna o kopec domen, tak by ten config celkom rastol, ale zalezi na situacii.
0 x
Nahoru
Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 20 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 8 years ago

LaCosta píše:Teoreticky by postacilo pouzit "view" v binde9 ... Ak sa jedna o kopec domen, tak by ten config celkom rastol, ale zalezi na situacii.

V dnešní době, kdy v organizacích zavládla BYOD mantra, bych na to přes DNS raději nechodil. Mimochodem jak je na tom views a DNSSEC?
0 x
Nahoru
TheITman
Příspěvky: 98
Registrován: 8 years ago

Příspěvekod TheITman » 8 years ago

Jedná se o jednu doménu, bohužel v DNS se to podle mně udělat nedá protože doménu do internetu si obstarává DNS wedosu kde je prostě jen *.domena.cz na veř. IP
a lokální doménu obstarává zmíněný bind. Další problém vidím v tom, že aplikace často neběží na výchozích portech 80,443 a se k nim připojuje v tomto tvaru IP:PORT/NĚCO/NĚCO/Aplikace z čehož reverzní proxy vytvoří aplikace.domena.cz
0 x
Nahoru
Odpovědět

Zpět na „Začátečnické témata“