Выпуск наружу 3 WEB сервера



  • Подскажите, возможно ли вообще такое?

    Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес
    Например
    Внешний адрес 10.10.0.1
    внутренний веб сервер 1 192.168.0.11
    внутренний веб сервер 2 192.168.0.12
    внутренний веб сервер 3 192.168.0.13
    Адреса на внешнем DNS
    site1.ru 10.10.0.1
    site2.ru 10.10.0.1
    site3.ru 10.10.0.1

    ДНС форвардер настроен
    Host Overrides
    Host пусто Domain site1.ru IP 192.168.0.11
    Host пусто Domain site2.ru IP 192.168.0.12
    Host пусто Domain site3.ru IP 192.168.0.13

    ДНС сервер на psSense настроен
    A site1.ru IP 192.168.0.11
    A site2.ru IP 192.168.0.12
    A site3.ru IP 192.168.0.13

    Но ничего не происходит.
    Что не так сделал?
    Один сервер с помощью правил выходит без проблем.



  • @Kowex:

    Подскажите, возможно ли вообще такое?
    Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес

    Если будет три статических внешних интерфейса, тогда возможно. Либо все сайты перенесите на один IP. ISPCONFIG в помощь.



  • @Kowex:

    Подскажите, возможно ли вообще такое?

    Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес
    Например
    Внешний адрес 10.10.0.1
    внутренний веб сервер 1 192.168.0.11
    внутренний веб сервер 2 192.168.0.12
    внутренний веб сервер 3 192.168.0.13
    Адреса на внешнем DNS
    site1.ru 10.10.0.1
    site2.ru 10.10.0.1
    site3.ru 10.10.0.1

    ДНС форвардер настроен
    Host Overrides
    Host пусто Domain site1.ru IP 192.168.0.11
    Host пусто Domain site2.ru IP 192.168.0.12
    Host пусто Domain site3.ru IP 192.168.0.13

    ДНС сервер на psSense настроен
    A site1.ru IP 192.168.0.11
    A site2.ru IP 192.168.0.12
    A site3.ru IP 192.168.0.13

    Но ничего не происходит.
    Что не так сделал?
    Один сервер с помощью правил выходит без проблем.

    Да. это возможно.

    DNS сервер, для данного случая не нужен. лишний.  DNS Forwarder выполняет все необходимые функции.

    Еще нужен Proxy. точнее reverse proxy.

    Он будет слушать WAN IP 10.10.0.1  порт 80
    и в зависимости от того, к какому сайту по имени обратились передавать запрос на

    site1.ru 192.168.0.11
    site2.ru 192.168.0.12
    site3.ru 192.168.0.13

    я не решал такую задачу на pFsense. давай попробуем вместе.

    предполагаю что из имеющихся в pFsense пакетов  это может делать HAProxy

    Устанавливаешь пакет.  System -> Packages
    находишь пакет haproxy.  жмешь справа  "+"  установить.

    Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.

    после установки пакета идешь  Service - HAProxy

    открываешь вкладку Server Poll
    создаешь сервер

    Name - site1.ru
    ниже - Server list   
    жмешь плюсик

    Name - site1.ru
    address - 192.168.0.11
    port - 80
    weight - 50

    Save

    создаешь сервер

    Name - site2.ru
    ниже - Server list   
    жмешь плюсик

    Name - site2.ru
    address - 192.168.0.12
    port - 80
    weight - 50

    Save

    создаешь сервер

    Name - site3.ru
    ниже - Server list   
    жмешь плюсик

    Name - site3.ru
    address - 192.168.0.13
    port - 80
    weight - 50

    Save

    Переходим на закладку listener

    жмешь плюсик

    Name - site1.ru
    Status - active
    external address - interface address
    external port - 80
    backend server pool - site1.ru
    type - HTTP
    connection timeout - 3000
    server timeout - 3000
    balance - source
    max connections - 999
    connection timeout - 3000

    save.

    жмешь плюсик

    Name - site21.ru
    Status - active
    external address - interface address
    external port - 80
    backend server pool - site21.ru
    type - HTTP
    connection timeout - 3000
    server timeout - 3000
    balance - source
    max connections - 999
    connection timeout - 3000

    save.

    жмешь плюсик

    Name - site3.ru
    Status - active
    external address - interface address
    external port - 80
    backend server pool - site3.ru
    type - HTTP
    connection timeout - 3000
    server timeout - 3000
    balance - source
    max connections - 999
    connection timeout - 3000

    save.

    переходим на закладку "setting"

    включаем enable HAProxy
    maximum connections  9999
    number of processto start  2  (он в скобочках пишет Х detected)  вот не больше этого X и вписываем.

    save.

    Applay changes

    по идее все должно начать работать.

    если не заработало - проверь есть ли разрешающее правило на WAN  для входящих пакетов на HTTP 80 порт.



  • правильно сделать так:

    1. делаем 1 апач-прокси во внутренней сетке, пробрасываем 80/443 на него. Можно заюзать ngnix в качестве фронтеда.
    2. настраиваем на нём домены в апаче с редиректами на нужные серые серваки
    3. раскидываем домены по сервакам.

    profit



  • @derwin:

    правильно сделать так:

    1. делаем 1 апач-прокси во внутренней сетке, пробрасываем 80/443 на него. Можно заюзать ngnix в качестве фронтеда.
    2. настраиваем на нём домены в апаче с редиректами на нужные серые серваки
    3. раскидываем домены по сервакам.

    profit

    А для чего такие сложности? В смысле заводить ещё один сервер только для проброса доменов.
    Я понимаю что это выход, но уж больно радикальный. Чем больше звеньев, тем больше шанс создать себе гимор.
    Есть уже железка, так проще ее заставить это сделать (знать бы как).
    Не пробовал вариант StanislawK, попробую, но мне казалось это проще как то должно делаться, попробовать надо.



  • @derwin:

    правильно сделать так…

    Ставить ещё одну машину – это в стиле MS.

    У меня всё тот же вопрос, как решить выше поставленную задачу на PFsense 2.2 не ходя на сторону?



  • @Scodezan:

    @derwin:

    правильно сделать так…

    Ставить ещё одну машину – это в стиле MS.

    У меня всё тот же вопрос, как решить выше поставленную задачу на PFsense 2.2 не ходя на сторону?

    А решение выше от StanislawK не подходит?



  • Там нет  нужного пакета для установки. LoadBalanser установлен по  дефолту. И конечно он несколько другой.



  • @Scodezan:

    Там нет  нужного пакета для установки. LoadBalanser установлен по  дефолту. И конечно он несколько другой.

    Какого именно пакета там нет?



  • А куда Вы недавно меня послали?

    Устанавливаешь пакет.  System -> Packages
    находишь пакет haproxy.  жмешь справа  "+"  установить.

    Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.

    Там есть только haproxy-devel. Хотя присутствует http://files.pfsense.org/packages/10/All/haproxy-1.4.25-i386.pbi

    Впрочем, в списке доступных пакетов есть несколько в описании которых заявлена поддержка reverse proxy. Буду смотреть в этом направлении, как будет время.



  • Действительно присутствует только haproxy-devel
    haproxy нет
    Как установить пакт если его скачивать?



  • По сути это он и есть только нестабильный.



  • Что странно, он есть на сайте http://files.pfsense.org/packages/10/All/ а в списке нет.



  • @StanislawK:


    Устанавливаешь пакет.  System -> Packages
    находишь пакет haproxy.  жмешь справа  "+"  установить.
    Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.   
    после установки пакета идешь  Service - HAProxy


    Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.
    Я никак не найду balance - source в  listener.



  • @Scodezan:

    Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.
    Я никак не найду balance - source в  listener.

    Все, в принципе, так же, только вот server -> frontend, а listener -> backend.








  • спасибо

    @Scodezan:

    Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.

    Заработало по мануалу.



  • О. Спасибо за ссылку.



  • Доброго времени суток всем
    Подскажите куда копать в разрешении такой задачи:
    Есть сервер, веб хостинг за натом с проброшенным портом 80 - все работает
    хочу перенаправить на 443 (https) и тут выдает ошибку 501 "Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding"

    как и чем можно поправить данное обращение?
    спсибо





  • @cvhideki:

    хочу перенаправить на 443 (https) и тут выдает ошибку 501

    Интересно, а сам pfsense на каком порту у вас работает?



  • @Kowex:

    Интересно, а сам pfsense на каком порту у вас работает?

    https, без проброса на порт

    DNS Forwarder - используеться при перенаправленние на 80 порт и локальную машину внутри сети



  • @cvhideki:

    @Kowex:

    Интересно, а сам pfsense на каком порту у вас работает?

    https, без проброса на порт

    DNS Forwarder - используеться при перенаправленние на 80 порт и локальную машину внутри сети

    Ссылки - выше. Проверяйте же.



  • @cvhideki:

    @Kowex:

    Интересно, а сам pfsense на каком порту у вас работает?

    https, без проброса на порт

    у вас pfsense работает на 443 и вы хотите за ним машину на тот же порт посадить.



  • А если использовать Firewall: NAT: 1:1 - на белую IP?



  • А не проще поменять порт pfsense?



  • @cvhideki:

    DNS Forwarder - используеться при перенаправленние на 80 порт и локальную машину внутри сети

    Пожалуйста не пишите глупостей, DNS Forwader не имеет такого функционала.



  • @PbIXTOP:

    @cvhideki:

    DNS Forwarder - используеться при перенаправленние на 80 порт и локальную машину внутри сети

    Пожалуйста не пишите глупостей, DNS Forwader не имеет такого функционала.

    Очевидно имеется в виду Split DNS - Host Override в DNS Forwarder.