LINUX.ORG.RU
ФорумAdmin

Помогите прокинуть белый IP на вутренний интерфейс

 


0

1

На серваке стоит proxmox в нем bitrix. Как прокинуть статичный ip через роутер чтобы bitrix и proxmox получали соединения из вне. Сейчас доступ только по локальному адресу
interfaces
auto lo
iface lo inet loopback
iface enp3s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.1.11
netmask 255.255.255.0
gateway 192.168.1.1
bridge_ports enp3s0
bridge_stp off
bridge_fd 0

адрес который нужно прокинуть 128.0.12.2 DNS 62.11.10.13/62.11.11.17

Тебе нужно пробросить не белый IP, а пробросить порты, с которых bitrix принимает запросы, с внешнего IP адреса на IP адрес 192.168.1.11 во внутренней локальной сети.

Вот и гугли как на твоём роутере сделать проброс портов и какие порты нужно пробросить.

Как минимум это 80, 443 порт, другие необходимые порты, если они есть смотри в документации к битрикс.

anonymous ()
Ответ на: комментарий от anonymous

Про порты я знаю. Только вопрос если их прокинуть то в логах и фаервол будет видеть входящие соединения от 192.168.1.1 или все же от реального ip? Сама беда в том что при малейшем подозрении на взлом фаервол блокирует ip на 5 мин и если все входящие он будет видеть под 192.168.1.1 то сайт будет лежать, как мне кажется или я что то не правильно понимаю

laberon ()
Ответ на: комментарий от laberon

Запросы приходящие на внешний IP адрес на определённый порт посредством NAT должны пробрасываться на IP адрес конкретной машины во внутренней сети.

Посредством NAT ответные пакеты с 192.168.1.1 должны преобразовываться (перенаправляться) на внешний интерфейс, происходить подмена адреса источника 192.168.1.1 на внешний IP.

Какие у вас там ещё настройки и как что работает - вы должны сами знать и сделать соответствующие настройки, если они нужны.

Почитайте что такое NAT (Network Address Translation)

anonymous ()

Если у вас более одного белого айпи, то бридж с ван- интерфейсом проксмокса и назначайте прямо на битриксе внешний адрес.

Если олмн, то как уже сказали выше - нат. Или веб прокси.

Я прямо на проксмокс ставлю nginx и настраиваю его как прокси на внутренний адрес виртуалки. Плюс при проксировании добавляю http заголовки с реальным адресом клиента.

skyman ★★ ()
Ответ на: комментарий от laberon

Это называется DNAT т.е. подмена адреса[порта] назначения. В простом варианте выглядит приблизительно так.
На роутер из инета прилетает пакет от 1.1.1.1, т.е. в пакете: адрес источника 1.1.1.1 адрес назначения 128.0.12.2.
dnat заменяет адрес назначения на 192.168.1.11, получился пакет:
адрес источника 1.1.1.1 адрес назначения 192.168.1.11
При ответе в этом соединении все в обратном порядке.

«Но русский учи» (c) Но теорию вам не мешает подтянуть.

anc ★★★★★ ()

На самом сервере:

ip addr add 128.0.12.2/32 scope global dev vmbr0
На шлюзе 192.168.1.1 (если там вообще linux, но идея, думаю, понятна):
ip ro add 128.0.12.2 via 192.168.1.11
Debian'ы не знаю, как это упихать в конфигурацию, представляю только примерно, надеюсь, справитесь. Да, и, понятное дело, на 192.168.1.1 адрес 128.0.12.2 должен прилетать.

berrywizard ★★★★★ ()
Последнее исправление: berrywizard (всего исправлений: 2)

Все, что нужно сделать - это Inbound NAT.

На промежуточной машине, которая NATит делаем:

sysctl net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport "${TARGET_PORT}" -j DNAT --to-destination "${target}"
iptables -A FORWARD -i eth0 -p tcp -d "${target}" --dport "${TARGET_PORT}" -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE

для одного порта. Если больше портов, то соответственно повторям 2 средние строчки столько сколько надо. Обрати внимание на то, что сделать NATится все, что прилетает на eth0, возможно тебе будет нужно заменить это на свой интерфейс.

У меня так 80-й порты пробрасывается. Видеть оно его будет как внутренний IP. Хз как настроить, что бы внешний прикидывался. Не уверен, что это вообще возможно без чорной магии на BGP или что-то вроде этого.

DiKeert ★★ ()
Последнее исправление: DiKeert (всего исправлений: 2)
Ответ на: комментарий от DiKeert

Еще вариантом было бы вместо роутенга поднять reverse-proxy на твоем шлюзе. NGINX какой-нибудь и им выставлять http заголовок с оригинальным IP, он так умеет. Я уверен, то bitrix умеет такие заголовки читать.

DiKeert ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.