[LUG.ro] Acceso a dos servidores detras del Router

Martin Russo russo.lista en gmail.com
Lun Mar 17 16:40:12 ART 2008


El 17/03/08, Peter Parker <> escribió:
>
>  No importa que tenga una sola IP publica, porque lo que haces es fijarte el pedido del cliente para redirigir a uno u otro servidor. Por ejemplo, se podrian agregar estas reglas al firewall para que haga esto que digo:
>
>  #/sbin/iptables -t nat -D PREROUTING -p TCP -i ppp0 -d server1.com.ar -j DNAT --to-destination 192.168.0.126
>  #/sbin/iptables -t nat -D PREROUTING -p TCP -i ppp0 -d server2.com.ar -j DNAT --to-destination 192.168.0.131
>
>  (faltaria agregar los puertos de los servidores destino en DNAT)
>  Con eso estarias redirigiendo el trafico segun el pedido del cliente, independientemente de que tengas una sola ip. Si el cliente accede a server1.com.ar, lo redirige al 192.168.0.126, si pide el server2 va al otro.
>  Saludos./

Peter, esas reglas no funcionarian primero porque dicen "-t nat -D"
que son para eliminar reglas , tendrían que ser "-t nat -A"  :)

Bueno, al margen del detalle, no funcionan esas reglas por una sola
razón, usando protocolo TCP el firewall ( por medio de
iptables/netfilter ) analiza el encabezado IP y luego TCP, y en este
último no existen host ( server1.com o server2.com )

Es decir,  para saber si el cliente hizo solicitud a server1.com o
server2.com es necesario un analisis de capas superiores ( Aplicación
) para leer el encabezado http, de ahí que otras personas hablar de
hacerlo apache. ( redirect ).

Nota: lo que hacen realmente ( corrijan si no es así ) esas reglas
iptables es antes de cargarse, resolver server1.com y server2.com y
agregar la regla con la ip que resuelve, nada más.


Saludos


-- 
Ing. Martin A. Russo



Más información sobre la lista de distribución Lugro