masq og ipchains

kører på en RedHat 7.2 med 192.168.254.98 som ip og den server der skal forwardes til er 192.168.254.3.

To forskjellige domener, en ip og det ene domene skal kjøre på Linux og det annet dome skal kjøre win2000, i utgangspunktet så kjører begge domener samme ip adresse og samme portnummer ??
Masquerading kan ellers bare brukes til det motsatte, altså trafikk innefra og ut. Her er det vel snakk om trafikk utenfra som skal nå din web server.
Den "normale måten" å gjøre dette på ved hjelp av iptables eller ipchains det ville være for eksempel å la Linux kjøre dirrekte opp mot internett og så la Win 2000 serveren stå på innsiden av Linux serveren. Linux serveren (i firewalling funksjon) vil rå kunne forwarde requestene til web server til Win2000 som ligger bak firewall. Måten dette kan gjøres på er å skille ad requestene utenfra på basis av portnummer. For eksempel kan alle requester til port 80 sendes til innvendig web server.

Dersom man ønsker å kjøre port 80 tjenester både på Win2000 og Linux samtidig så har man vel et problem. Kan man kjøre samtlige web/port 80 tjenester på den invendige serveren så lar problemet seg løse. Event kunne man gi en av web serverne nytt portnummer, for eksempel 8080 ??

ipchains og iptables kan i utgangspunktet ikke route ip pakker på basis av domene navn, "bare" på basis av opadresse og portnummer. Dersom en tjeneste, for eksempel web server skal kjøre på to forskjellige maskiner og man så akal adressere (utenfra)ved hjelp av samme ip og samme portnummer, så kan dette vanskelig la seg gjøre.

Spørsmål: Er det nødvendig å kjøre to forskjellige web servere en win 2000 og en Linux samtidig som at de begge to skal nås utenfra med samme ipnummer ??

Begge de to oppgitte ip er ellers interne ip som ikke kan nås utenfra ?!
(192.168.254.98) (192.168.254.3)

jah de skal kunne nåes fra nettet... begge to.. der må da være en måde at gøre dette på. ellers kan man vel portforwarde fra en global ip + port til en intern ip og port 80...

Nei, det kan se ut som om du spør etter noe som ikke er mulig ut fra de ordinære funksjonene som ligger i ipcains eller iptables. De to webserverne må enten kunne skilles ad ved at de kan nås fra to forskjellige eksterne ipadresser og/eller at de kan adresseres fra to forskjellige eksterne portadresser. Dersom ip adresse og portnummer i forhold til omverdenen er den samme så har ikke linux "noe fornuftig å ta tak i" (adresseringsinformasjon) når den skal adressere videre til den ene eller den annen server.

Det er selvfølgelig mulig rent teknisk sett å diskriminere eller route trafikken ut fra andre kriteria, for eksempel alle pakker fra ipno1 går til server a og alle pakker fra ipno 2 går til server b. Tror ikke det kan brukes her i en fornuftig sammenheng.

Kan ikke se annen måte å diskriminere eller skille ad ippakker eller trafikk til 2 forskjellige webservere enten ved at de har hver sin eksterne ip adresse og/eller hvert sitt eksterne portnummer. Da kan man dvs Linux videreadressere.

Hvis de to web serverne kjører med samme eksterne ip og forskjellige eksterne portnummer så går deb bra. Domenenavnet kan bare ikke være den ene faktor som bestemmer hvilken web server av to. Ikke hvis iptables eller ipchains er det redskap som skal skille ad trafikken.
(Om det kan finnes andre måter det er ikke godt å vite.)

hvis man nu i dnsen indsætter at den skal gå til xxx.dk:100 og så portforwarder fra global ip port 100 -> intern ip port 80. Kan dette lade sig gøre?

Er rimelig sikker når det gjelder iptables. ipchains har ellers noen tillegsmoduler ... Ville ikke tro at den kunne route trafikk på basis av domenenavn .. ??

hmm ok .. tak for hjælpen .. jeg må jo nok prøve mig lidt frem :)

lav lige et svar så får du les points

Hvis du setter opp en dns slik at den framsender domene1 til port a og domene2 til port b så bør det gå bra. (Har ikke satt opp dns på lange tider men har iptables rimelig friskt.) Poenget er at når en request når Linux firewall så må den ha et eller annet kriterie den kan bruke for å route trafikken. Dersom dns serveren er i stand til å sende domene1.dk til port a og domene2.dk til port b så bør det gå bra. (Er den det ??)

det kan den sagtens... så det tror jeg må blive udvejen.. og så lave en portforward på linux maskinen og forwarde fra Linux:100 til ->2kserver:80

Er litt usikker på dns delen av spørsmålet. Tror vel at dns serveren er i stand til å adressere forskjellige domener til forskjellige porter og da er en del av problemstillingen løst. I iptables så videresender man til bakenforliggende web server ved hjlp at PREROUTING og DNAT. Red Hat 7.2 er ellers merkelig nok satt opp til å kjøre ipchaons som default. Sjekk:
Kjør "ipchains -L" og se hv som kommer. (Event "iptables -L" ut fra hva som gir feilmelding så vet man hva man har kjørende.)

http://www2.linuxpakistan.net/man.php?query=ipchains&apropos=0&section=0&type=2
http://www2.linuxpakistan.net/man.php?query=iptables&apropos=0&section=0&type=2
Red Hat 7.2 kan enten kjøre ipchanis eller iptables men ikke begge.
ipchains er default.
iptables har de beste mulighetene for omadressering av ip pakker.

Takker for points ! Du mangler ennå litt før det hele kjører.
Litt problemer hos meg i forbindelse med omkonfigurering fra ipchains til iptables ..

ok... jeg tror jeg satser på en dns løsning direkte på den... tror jeg ;)
tak for hjælpen :)

Hvis du har flere eksterne ip tilgjengelig så skulle det være det hele. Hvis du der i mot har en ekstern ip og du så skal i gang med å videreadresere ut fra portnummer så er du raskt ute i noe iptables liknende. Håper det går bra !