LINUX.ORG.RU
ФорумAdmin

Хостинг за натом - это нормально?

 , ,


0

1

Здравствуйте, уважаемые! Имею домашний сервачок, спрятанный за микротиком, на котором висит честный айпишник и проброшены 80 и 443 порты на сервер. На сервере висит десяток сайтов и всё вроде бы работает, но иногда возникают интересные вопросы с сайтами, которые в рамках работы самих сайтов решить не удаётся.

И только сейчас я задумался - а это вообще нормально размещать хостинг за натом? Могут ли всплыть какие-то проблемы с этим, если учесть, что само оборудование работает безотказно? Или-таки в идеале внешний айпишник должен висеть непосредственно на самом хостинге?

Сервер Ubuntu 14.04, apache, php 5.6.

Если у тебя есть контроль над натящей машинкой - почему бы и нет?

но иногда возникают интересные вопросы с сайтами,

Алло это программист? У меня все сломалось и ничего не работает!

entefeed ☆☆☆ ()
Ответ на: комментарий от entefeed

Благодарю за ответ. Конечно есть контроль над микротиком и надо всем остальным - моё домашнее оборудование. Только чего там особо контролировать-то?

У меня все сломалось и ничего не работает!

Ну я же в общем спрашивал о практике размещения хостинга за натом. Если конкретней, то на Wordpress стоит плагин, который автоматом постит новости во вконтакт. В большинстве случаев успешно. А иногда то картинка не долетит, то и весь пост. Пробовал с двумя разными плагинами - одно и тоже. Систематики не нашёл. В логах также похожие сообщения:

[2016-02-08 22:08:09] - [Error] [vKontakte - http://vk.com/mygroup] - -=ERROR=- Array ( [pgID] => [isPosted] => 0 [pDate] => 2016-02-08 19:07:54 [Error] => Error: WP_Error Object ( [errors] => Array ( [http_request_failed] => Array ( [0] => Operation timed out after 5000 milliseconds with 0 bytes received ) ) [error_data] => Array ( ) ) ) | PostID: 4948 - post title |im

(спрашивал, например, тут).

То есть, как я понимаю, иногда плагин не может достучаться до api вконтакта по таймауту. На интернет грех жаловаться, а вот может ли как-то косвенно мешать НАТ или другие сетевые настройки?..

seventhsite ()
Ответ на: комментарий от seventhsite

Если бы у тебя постоянно такие ошибки были, тогда другое дело. А если то работает, то не работает, а нат как был, так и остался, то он не при делах.

tiandrey ★★★★★ ()
Ответ на: комментарий от seventhsite

Ну попробуй retry там поставить когда timeout случается, например.

tiandrey ★★★★★ ()

И только сейчас я задумался - а это вообще нормально размещать хостинг за натом?

Конечно, нормально. А что, думаешь что все эти почтовые, рдп, веб и прочие сервера прямо жопой в Сеть смотрят? Да, часть смотрит напрямую, но далеко не все. Держать public ip - это забота машины-гейта, а не конечного сервиса. Принимаешь на гейте входящие подключения и там уже решаешь что с ними делать.

targitaj ★★★★★ ()

Хостинг за натом - это нормально?

нет

Имею домашний сервачок, спрятанный за микротиком

А что ты говоришь клиентам, когда у тебя в соседнем подъезде свет чинят, а интернетов нету? Или ты аптайм и не гарантируешь? Провайдер не спалил что ты его канал используешь в промышленных целях?

matrixd ()
Ответ на: комментарий от matrixd

Хостинг за натом - это нормально?

нет

Хотя лан, это же не впс.

matrixd ()
Ответ на: комментарий от seventhsite

А иногда то картинка не долетит, то и весь пост.

mtu discovery не работает, так как icmp не в ту сторону уходит ?

AS ★★★★★ ()

ну есть проблема что при пробросе веб сервер в логах будет тебе показывать ip шлюза, а не компьютера который на сайт зашел

Ien_Shepard ★★★ ()
Ответ на: комментарий от AS

А вот тут можно поподробней? Трасса выглядит так:

root@7th-server:~# traceroute vk.com
traceroute to vk.com (87.240.131.118), 30 hops max, 60 byte packets
 1  192.168.7.1 (192.168.7.1)  0.368 ms  0.346 ms  0.353 ms
 2  _IP_шлюза_у_провайдера_  1.138 ms  1.143 ms  1.144 ms
 3  195.239.162.201 (195.239.162.201)  2.130 ms  2.139 ms  2.144 ms
 4  be101-dpi.tf01.moscow.gldn.net (62.141.106.228)  32.734 ms  33.013 ms  32.964 ms
 5  79.104.229.45 (79.104.229.45)  21.940 ms  22.462 ms  21.922 ms
 6  beeline-gw-e5.spb.vkontakte.ru (213.221.63.170)  23.798 ms !X * *
seventhsite ()
Ответ на: комментарий от seventhsite

А вот тут можно поподробней ?

Так гуглится же про mtu.

Трасса выглядит так:

Сегодня так, завтра эдак. В какой-то момент может пойти через роутер с уменьшенным mtu, роутер пришлёт «fragmentation needed but don't fragment bit set» (если fragment bit set), а до хоста это не долетит, так как получит это Микротик, на котором NAT.

AS ★★★★★ ()
Ответ на: комментарий от Ien_Shepard

Ставь на шлюзе nginx, который будет принимать клиентские соединения и сам уже ходить до внутреннего apache.

Вообще, на должно быть такого. DNAT подменяет только destination адрес.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 5)

Hetzner и Amazon одобряют. У них тоже все виртуальные сервера за зримым NAT.

Andrey_Utkin ★★ ()
Ответ на: комментарий от seventhsite

Поставить скриптик, пусть периодически проверят догадку?

В принципе, RouterOS умеет netflow. Можно сделать сбор статистики, а как случится, тогда посмотреть, прилетали ли icmp-пакеты, и какого типа. Может и получится понять.

AS ★★★★★ ()

Зависит от того что достигнуть хотим. В целом ничего плохого. Кроме варианта если этот сервачек так же входит в локальную сеть, а что такое «сломали вэб» знают все.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.