VMware - routing

[munina]

Nazdar.

Riesim zapeklity problem. Mam k dispozicii jednu verejnu IP a server, na ktorom bezi VMware ESX 3i (novsi som na tu grcu nedostal).
Povytvaral som virtualne masiny:
1. WebServer (vyuziva porty: 80, 443, 21, 22)
2. MailServer (vyuziva porty: 80, 443, 21, 22, 110, 995, 25, 465, 143, 585, 993)
3. FilesServer (vyuziva porty: 21,22)

Najprv sa len spytam.
Je mozne nejakym sposobom toto vsetko schovat za jednu IP s tym, ze servre budu rozlisene napr hostname-om?

Priklad:
1. Niekto sa chce dostat na webstranku. Takze si nabucha len www.moja-stranka.sk a nieco (to co hladam) nasmeruje port 80/443 na WebServer.
2. Niekto iny si bude chciet pozriet maily cez WebMail. Tak zada mail.moja-stranka.sk a je vymalovane. Presmeruje ho na MailServer.
3. Uchylak si bude chciet stiahnut pecko, zada do TC ftp.moja-stranka.sk, presmeruje ho na FilesServer.

A aby toho nebolo malo, pre VMware Client-a tiez nemam verejnu IP navyse, takze by som sa dopytoval trebars na vmware.moja-stranka.sk a dostanem sa krasne na konzolu.
Len nie som si celkom isty, ci je to mozne. Ziadny forwarding som v konzole nenasiel.

Pokial sa niekomu nechce pisat cely navod, staci ak ma usmernite, co mam vlastne hladat. Google mi ostatne poriesi.

Dakujem za rady

[faugusztin]

HTTP (port 80) by sa dal poriesit cez Apache a proxy, teda ze by si na danom servri vytvoril virtualhosty, ktore by nasledne robili proxy na virtualne servre (teda tvoj router nasmeruje port 80 na virtualku s Apache, ktory nasledne rozhodi podla hostname cez proxy na prislusne dalsie virtualky). HTTPS (port 443) sa uz neda, kedze HTTP request s Host hlavickou uz pride v ramci zasifrovanej komunikacie, teda nie je mozne nan robit virtualhosty, iba podla IP adries. Zvysok sa myslim tiez binduje na IP adresu, takze sa to tiez neda, ak nepouzijes custom porty pre niektore hosty.

Prakticky je teda riesitelna iba nesifrovana HTTP komunikacia, zvysok smola.

http://httpd.apache.org/docs/current/vh ... html#proxy

[munina]

Ak by som si spravil DNS server, mohol by som smerovat hostname na konkretne porty s tym, ze kazdy port by som spravil jedinecnym?

[Snake]

nie

[faugusztin]

Ak by som si spravil DNS server, mohol by som smerovat hostname na konkretne porty s tym, ze kazdy port by som spravil jedinecnym?

Vsetky tebou uvedene sluzby okrem HTTP (nie HTTPS) vyzaduju unikatnu verejnu IP adresu pre beh na svojom porte, navyse u niektorych je aj prakticky nemozne zmenit port (napriklad SMTP na inom porte nez 25 ani nedava zmysel).

Teda prakticke riesenie tvojej situacie :

• HTTP port 80 poriesit cez Apache proxy (vid vyssie)
• HTTPS porty poriesit cez rozne porty (jeden pobezi na 443, druhy na 444) + Apache proxy (tj 443 bude smerovat napriklad na webserver na LAN IP1, 444 bude smerovat na web mailservra na LAN IP2)
• FTP rozhodit na rozne porty... Mimochodom, naco vobec potrebujes FTP vsade ? Vsak vsademusis mat aj tak SSH, tak ries vsetko cez to (SFTP cez SSH protokol, rozne IP das na rozne porty, pripadne sa nalogujes na pristupovy a z neho SSH do LAN).
• Zvysok ti nekoliduje.

[Snake]

Ani HTTPS nepotrebuje unikatnu IP, pokial sa vyuziva Load Balancer, napr. UAG.

pre OP: Dobre si rozmysli co ides robit, je sice pekne ze sa ucis a vzdelavas sa, ale test laby si rob doma a nie vonku na nete, je to jak pre tvoju bezpecnost, tak pre bezpecnost internetu, ak nieco poseres, tak v zavislosti na rozsahu skod ti moze tvoj ISP pekne prikurit (mas to v zmluve), a ver ze reboot takeho RRDNS ta vyjde na par tisic ked by sa nieco stalo. Nechapem naco ides pustat SSL a aj STD porty von? Tak bud jedno alebo druhe. Dalej, FTP na fileserver? Co sme rok 1995? Naco potrebujes FTP/SSH na kazdy server? To si nevies urobit nejaku Secure VPN (prip. iny tunel) a menezovat to tak? Je dost blby napad mat povolenu takuto sluzbu a este aj vyhodenu von (doteraz sa smejem na debiloch co maju vyhodenu napr. 3389 port von).

[faugusztin]

@Snake: Mozno sa mylim, ale ako cez load balancer poriesis HTTPS na rozne hostname s roznymi SSL certifikatmi ? Ved hostname v momente ked uz musi bezat komunikacia pod SSL este nevies. Jedine kde to moze asi fungovat je wildcard SSL certifikat a vsetky hostname spadajuce pod tento certifikat.

[munina]

Alebo mi napada este "amaterskejsie" riesenie.
Dat pred server lepsi router s DD-WRT alebo OpenWRT a porty budem forwardovat na lokalne IP s tym, ze porty ktore koliduju zmenim na ine.

Struktura by mohlo vyzerat nasledovne (cele som to osekal ako mi pisete):
10.0.0.1:* - VMware vSphere Hypervisor (ESXi)
10.0.0.2:80,443 - VM WebServer a OpenVPN (alebo dam VPN koncentrator zvlast?)
10.0.0.3:4433,995,465,585 - VM MailServer
10.0.0.4 - VM FilesServer

* neviem sa dogooglit, na akom porte komunikuje klient
Na FilesServer sa dostanem cez VPN a SSH detto.

Pre komfort este vychytavka na WebServri:

Kód: Vybrať všetko

<VirtualHost *:80>
ServerName mail.moja-stranka.sk
RedirectPermanent / https://mail.moja-stranka.sk:4433/
</VirtualHost>

Dalo by sa myslim aj takto..
A router zabrani tomu, aby som spravil providerovi v sieti sarapatu, co sa moze celkom lahko stat pri mojich pokusoch.

[jcdenton12]

IPv6

resp podla toho kolko ludi sa bude pripajat tak by som si vedel predstavit IPv4 VPN tunel ku tvojmu koncentratoru a vo vnutri VPN dualstack