08. oktober 2003 - 12:44Der er
13 kommentarer og 2 løsninger
Network Address Translation
Jeg har 3 webservere [alle på windows XP] og een offentlig ip. De tre webservere er sat sammen i et LAN, hvor den ene webserver står som router. Dvs at den en webserver har direkte kontakt ud til internettet på den offentlige ip. De to andre går på internettet via den første. Routeren har således også en intern ip [192.168.0.1] og de to andre har hver deres interne [192.168.02 og 192.168.0.3].
Spørgsmålet er så: Hvordan kan man komme til de to andre websere udefra. Jeg er nået så langt at det virker som om Network Address Translation (NAT) er svaret. I NAT'en skulle der også være mulighed for at 'port mappe' således at en request på xx.xx.xxx.xxx:4077 kan dirigeres til webseren på 192.168.0.2.
NAT er svaret, men din installation er ikke videre sikker. Du bør gøre følgende
Først opsættes en router med NAT, den håndtere alt omsætning mellem den ene externe IP til alle de interne IP adresser. efter denne router placere du en firewall med DMZ, på DMZ placere du de tre webservere.
Denne løsning giver dig den bedste sikkerhed i forhold til den løsning du har valgt. Det at lade en web server fungere som router er en meget dårlig ide, routeren er dels uden sikkerhed og dels giver du alle muligheder for komprimittering af sikkerheden gennem din webserver.
Selve opsætningen af NAT afhænger lidt af hvilken nat router du vælger
Er der ikke indbygget en NAT i windows XP som kan bruges ???
Med hensyn til sikkerheden har du helt ret... Men de to bagved liggende webservere har hver deres firewall og skulle således gerne være sikre nok - og det er 'kun' til udvikling og test - ikke til prof. brug...
Kan du komme med lidt mere info om NAT opsætning???
'Fidusen' ved at have 3 webservere er at de kører hver deres type.
Den yderste kører Apache med PHP/MySQL, den ene af de to bagved kører ISS med ASP og det er planen at den tredje skal op og køre med et helt tredje system [som endnu ikke er bestemt - gode ideer modtages gerne].
Når du har aktiveret ICS (properties for det netkort som er på Internettet og så vælge "deling"), kan du under de avancerede egenskaber konfigurere port forwarding. Du kan f.eks. gøre så port 81 bliver omdirigeret til Webserver 2 og port 82 til Webserver 3.
Det eneste du lige skal være klar over med hensyn til ICS er at du ikke selv har kontrol over hvilke IP'er du kan bruge. På PC1 bliver den interne IP automatisk 192.168.1.1 (mener jeg) og de to andre maskiner skal begge være konfigureret til at automatisk blive tildelt IP.
Du skal desuden huske at konfigurere webserveren på PC2 til at lytte på port 81 (istedet for 80) og PC3 skal lytte på port 82. (portene kan du selv vælge hvad skal være... Webserveren skal bare lytte på den port du har forwardet til den).
når ok jeg var ikke klar over at ICS kan bruges også som nat funktion jeg kan bare huske fra server installation at er det ICS eller nat og de 2 kan ikke kør santidig.
men ok sorry hhunden og tak venturer for information..
mmk: som du selv skriver... De kan ikke køre på samme tid. Dét er netop fordi de har samme funktion. To services som gør det samme kan ikke køre på samme tid.
Bare for at være en smule flueknepper hedder det Network Address Port Translation (NApT). Men jeg tror at vi alle ved hvad der bliver snakket om ;o)
Jeg har nu ASP'en stående til at lytte til port 4077 og det fungerer internt [192.168.0.2:4077] men ikke eksternt, hvilket jo nok skyldes at jeg ikke har sat NAT/PAT op korrekt.. :o)
Apache serveren kan stadig rammes via såvel den interne som den eksterne - men ingen af serverne bliver ramt via ekstern ip på port 4077.
Er der nogen der kan guide mig igennem opsætningen af NAT/PAT vil der være en slat ekstra point i puljen....
Vi er her for at tjene... Så længe det virker er vi alle glade :o)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
