Выпуск наружу 3 WEB сервера

Kowex

Подскажите, возможно ли вообще такое?

Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес
Например
Внешний адрес 10.10.0.1
внутренний веб сервер 1 192.168.0.11
внутренний веб сервер 2 192.168.0.12
внутренний веб сервер 3 192.168.0.13
Адреса на внешнем DNS
site1.ru 10.10.0.1
site2.ru 10.10.0.1
site3.ru 10.10.0.1

ДНС форвардер настроен
Host Overrides
Host пусто Domain site1.ru IP 192.168.0.11
Host пусто Domain site2.ru IP 192.168.0.12
Host пусто Domain site3.ru IP 192.168.0.13

ДНС сервер на psSense настроен
A site1.ru IP 192.168.0.11
A site2.ru IP 192.168.0.12
A site3.ru IP 192.168.0.13

Но ничего не происходит.
Что не так сделал?
Один сервер с помощью правил выходит без проблем.

dr.gopher

@Kowex:

Подскажите, возможно ли вообще такое?
Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес

Если будет три статических внешних интерфейса, тогда возможно. Либо все сайты перенесите на один IP. ISPCONFIG в помощь.

StanislawK

@Kowex:

Подскажите, возможно ли вообще такое?

Есть в локалке 3 веб сервера, естественно все на 80 порту, имеется 1 статический внешний адрес
Например
Внешний адрес 10.10.0.1
внутренний веб сервер 1 192.168.0.11
внутренний веб сервер 2 192.168.0.12
внутренний веб сервер 3 192.168.0.13
Адреса на внешнем DNS
site1.ru 10.10.0.1
site2.ru 10.10.0.1
site3.ru 10.10.0.1

ДНС форвардер настроен
Host Overrides
Host пусто Domain site1.ru IP 192.168.0.11
Host пусто Domain site2.ru IP 192.168.0.12
Host пусто Domain site3.ru IP 192.168.0.13

ДНС сервер на psSense настроен
A site1.ru IP 192.168.0.11
A site2.ru IP 192.168.0.12
A site3.ru IP 192.168.0.13

Но ничего не происходит.
Что не так сделал?
Один сервер с помощью правил выходит без проблем.

Да. это возможно.

DNS сервер, для данного случая не нужен. лишний.  DNS Forwarder выполняет все необходимые функции.

Еще нужен Proxy. точнее reverse proxy.

Он будет слушать WAN IP 10.10.0.1  порт 80
и в зависимости от того, к какому сайту по имени обратились передавать запрос на

site1.ru 192.168.0.11
site2.ru 192.168.0.12
site3.ru 192.168.0.13

я не решал такую задачу на pFsense. давай попробуем вместе.

предполагаю что из имеющихся в pFsense пакетов  это может делать HAProxy

Устанавливаешь пакет.  System -> Packages
находишь пакет haproxy.  жмешь справа  "+"  установить.

Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.

после установки пакета идешь  Service - HAProxy

открываешь вкладку Server Poll
создаешь сервер

Name - site1.ru
ниже - Server list   
жмешь плюсик

Name - site1.ru
address - 192.168.0.11
port - 80
weight - 50

Save

создаешь сервер

Name - site2.ru
ниже - Server list   
жмешь плюсик

Name - site2.ru
address - 192.168.0.12
port - 80
weight - 50

Save

создаешь сервер

Name - site3.ru
ниже - Server list   
жмешь плюсик

Name - site3.ru
address - 192.168.0.13
port - 80
weight - 50

Save

Переходим на закладку listener

жмешь плюсик

Name - site1.ru
Status - active
external address - interface address
external port - 80
backend server pool - site1.ru
type - HTTP
connection timeout - 3000
server timeout - 3000
balance - source
max connections - 999
connection timeout - 3000

save.

жмешь плюсик

Name - site21.ru
Status - active
external address - interface address
external port - 80
backend server pool - site21.ru
type - HTTP
connection timeout - 3000
server timeout - 3000
balance - source
max connections - 999
connection timeout - 3000

save.

жмешь плюсик

Name - site3.ru
Status - active
external address - interface address
external port - 80
backend server pool - site3.ru
type - HTTP
connection timeout - 3000
server timeout - 3000
balance - source
max connections - 999
connection timeout - 3000

save.

переходим на закладку "setting"

включаем enable HAProxy
maximum connections  9999
number of processto start  2  (он в скобочках пишет Х detected)  вот не больше этого X и вписываем.

save.

Applay changes

по идее все должно начать работать.

если не заработало - проверь есть ли разрешающее правило на WAN  для входящих пакетов на HTTP 80 порт.

derwin

правильно сделать так:

1. делаем 1 апач-прокси во внутренней сетке, пробрасываем 80/443 на него. Можно заюзать ngnix в качестве фронтеда.
2. настраиваем на нём домены в апаче с редиректами на нужные серые серваки
3. раскидываем домены по сервакам.

profit

Kowex

@derwin:

правильно сделать так:

1. делаем 1 апач-прокси во внутренней сетке, пробрасываем 80/443 на него. Можно заюзать ngnix в качестве фронтеда.
2. настраиваем на нём домены в апаче с редиректами на нужные серые серваки
3. раскидываем домены по сервакам.

profit

А для чего такие сложности? В смысле заводить ещё один сервер только для проброса доменов.
Я понимаю что это выход, но уж больно радикальный. Чем больше звеньев, тем больше шанс создать себе гимор.
Есть уже железка, так проще ее заставить это сделать (знать бы как).
Не пробовал вариант StanislawK, попробую, но мне казалось это проще как то должно делаться, попробовать надо.

Scodezan

@derwin:

правильно сделать так…

Ставить ещё одну машину – это в стиле MS.

У меня всё тот же вопрос, как решить выше поставленную задачу на PFsense 2.2 не ходя на сторону?

werter

@Scodezan:

@derwin:

правильно сделать так…

Ставить ещё одну машину – это в стиле MS.

У меня всё тот же вопрос, как решить выше поставленную задачу на PFsense 2.2 не ходя на сторону?

А решение выше от StanislawK не подходит?

Scodezan

Там нет  нужного пакета для установки. LoadBalanser установлен по  дефолту. И конечно он несколько другой.

werter

@Scodezan:

Там нет  нужного пакета для установки. LoadBalanser установлен по  дефолту. И конечно он несколько другой.

Какого именно пакета там нет?

Scodezan

А куда Вы недавно меня послали?

Устанавливаешь пакет.  System -> Packages
находишь пакет haproxy.  жмешь справа  "+"  установить.

Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.

Там есть только haproxy-devel. Хотя присутствует http://files.pfsense.org/packages/10/All/haproxy-1.4.25-i386.pbi

Впрочем, в списке доступных пакетов есть несколько в описании которых заявлена поддержка reverse proxy. Буду смотреть в этом направлении, как будет время.

Kowex

Действительно присутствует только haproxy-devel
haproxy нет
Как установить пакт если его скачивать?

Scodezan

По сути это он и есть только нестабильный.

Kowex

Что странно, он есть на сайте http://files.pfsense.org/packages/10/All/ а в списке нет.

Scodezan

@StanislawK:

---

Устанавливаешь пакет.  System -> Packages
находишь пакет haproxy.  жмешь справа  "+"  установить.
Там ниже есть пакет haproxy-full - он нам НЕ НУЖЕН.   
после установки пакета идешь  Service - HAProxy

---

Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.
Я никак не найду balance - source в  listener.

DeAlex

@Scodezan:

Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.
Я никак не найду balance - source в  listener.

Все, в принципе, так же, только вот server -> frontend, а listener -> backend.

Scodezan

спасибо

@Scodezan:

Подскажите, пожалуйста, как настроить такое-же на доступном в пакетах haproxy-1_5.

Заработало по мануалу.

werter

О. Спасибо за ссылку.

cvhideki

Доброго времени суток всем
Подскажите куда копать в разрешении такой задачи:
Есть сервер, веб хостинг за натом с проброшенным портом 80 - все работает
хочу перенаправить на 443 (https) и тут выдает ошибку 501 "Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding"

как и чем можно поправить данное обращение?
спсибо

werter

Доброе
https://doc.pfsense.org/index.php/DNS_Rebinding_Protections
http://blog.stefcho.eu/potential-dns-rebind-attack-detected-workaround/

Kowex

@cvhideki:

хочу перенаправить на 443 (https) и тут выдает ошибку 501

Интересно, а сам pfsense на каком порту у вас работает?