PDA

Visualizza la versione completa : DNS o NAT?


Grignard
20-11-2006, 20:57
Salve a tutti
non so se è il posto giusto per postare una domanda del genere, comunque ci provo.

Quello che vorrei fare è fare in modo che dal mio IP pubblico (fisso) vengano raggiunti n server web/ftp.
In pratica la discriminazione sarebbe in base al nome di dominio digitato.

Ovviamente sta già tutto dietro fw e i server sono posizionati su un DMZ controllato.
Il mio problema è che, ovviamente, se natto natto tutto il traffico verso la 80 (ad esempio) il che mi renderebbe visibile un solo server web.

Avevo pensato di utilizzare un DNS interno per il reindirizzamento corretto delle richieste, secondo voi ho detto una castroneria? (non ho trovato indicazioni a riguardo per bind).

grazie mille

Il_FIlosofo
20-11-2006, 21:21
è una cosa che volevo fare anche io, ed è un pò un macello... credo che tu abbia bisogno di un indirizzo in più...
secondo me serve un indirizzo ip per un server dns e uno per i vare web/ftp e dopo con la nat dici che la porta 21 e 80 vanno al secondo indirizzo e con il dns gli dici che server virtuale usare...
tutto ciò lo credo, non ne sono sicuro...

Caleb
20-11-2006, 21:28
non è facile

se tu usassi un singolo server che ospita tutti i domini ti direi di usare il name based virtual host di apache e sarebbe un lavoretto di cinque minuti, ma così come la descrivi quel che ti serve è un reverse proxy che indirizzi le richieste verso il server corretto in base all'URI

http://www.ibm.com/developerworks/web/library/wa-secdomdat/Figure1.jpg

quindi ti devi preparare una macchina in più con apache, cerca reverse proxy in google

Grignard
21-11-2006, 08:33
Era proprio quello che temevo.

Avevo già preso in considerazione la soluzione che mi indichi, l'unico problema è che posso farlo con server web, posso farlo con altri tipi di server?

Sto cercando di virtualizzare n servizi per altre sedi (non proprio stessa azienda altrimenti avrei creato dei tunnel VPN).

Comunque fai conto che con la soluzione che indichi mi aggiunge costi che al momento non vorrei (vorrebbero) aggiungere.

La mia idea, riguardo al DNS era quella di far arrivare al mio Fw/DNS la richiesta dell'URI e il fw ridirigeva in base ad una risoluzione del nome locale rispondendo in extranet sempre dall'ip pubblico.
Secondo te è possibile?

ancora grazie mille

Caleb
21-11-2006, 09:54
Originariamente inviato da Grignard
Era proprio quello che temevo.

Avevo già preso in considerazione la soluzione che mi indichi, l'unico problema è che posso farlo con server web, posso farlo con altri tipi di server?


in linea di massima sì, l'inghippo è che per ogni servizio dovresti far aggiungere dal registrar un record di terzo livello ai domini esistenti e registrarne altri in modo da puntare al servizio preciso della macchina precisa dall'esterno (ftp.dominio.dom, mail.dominio.com, http.dominio2.com etc), finchè si tratta di ftp e http non ci sono troppi problemi, ma ad esempio far attraversare i protocolli per posta e ssh a un reverse proxy equivale a spararsi nelle palle, è complicatissimo



Sto cercando di virtualizzare n servizi per altre sedi (non proprio stessa azienda altrimenti avrei creato dei tunnel VPN).

Comunque fai conto che con la soluzione che indichi mi aggiunge costi che al momento non vorrei (vorrebbero) aggiungere.

La mia idea, riguardo al DNS era quella di far arrivare al mio Fw/DNS la richiesta dell'URI e il fw ridirigeva in base ad una risoluzione del nome locale rispondendo in extranet sempre dall'ip pubblico.
Secondo te è possibile?

ancora grazie mille

teoricamente lo è, ma non l'ho mai fatto e non saprei indicarti di preciso come... la documentazione di bind dovrebbe venirti in aiuto

c'è un'alternativa più semplice per te e leggermente più macchinosa per gli utenti esterni: usare il pat (http://it.wikipedia.org/wiki/Port_Address_Translation) per discriminare in base alle porte su unico uri

se al fw ti arriva una richiesta su dominio.com:80 la redirigi su server1:http
se ti arriva su dominio.com:81 la redirigi su server2:http
se ti arriva su dominio.com:22 la redirigi su server3:ssh
se ti arriva su domino.com:500 la redirigi su server1:ftp
se ti arriva su dominio.com:600 la redirigi su server2:ftp

e così via, non è necessario che la porta su cui risponde il fw sia la medesima su cui risponde il server interno

nel caso dei server web, gli utenti dei client esterni dovranno avere l'accortezza di aggiungere :porta all'url nel browser per potersi agganciare al server web corretto; fattibile?

conta che in ogni caso con questo sistema potrai avere UN solo mail server in dmz, perchè gli altri mail server esterni che ci dialogheranno tenteranno sempre di collegarsi alla 25, e su di loro ovviamente non hai alcun controllo

Grignard
21-11-2006, 10:21
Grazie mille della disponibilità

La questione PAT ovviamente non la prendevo in considerazione proprio in virtù del fatto che per n server avrei dovuto rendere visibili n porte diverse (dolore schifo e fastiodio lato client, per gli utonti in questione).

Al momento la cosa migliore (più elegante) immagino sia sperimentare (speriamo bene) la soluzione DNS.

Verificherò

grazie mille ancora

Loading