Monday, October 24, 2011

การทำ DMZ

เช่น 202.29.30.49 map 192.168.2.19 สามารถเรียกดูได้ ที่
202.29.30.49 ครับ


เขาเรียกว่าการทำ DMZ ครับ คือต้องมีการ์ดแลนเพิ่มมาอีกใบนึงคับ เท่าที่ทราบ แต่ว่าผมก็ยังไม่เคยทำ

ปล. ไม่รู้ผมเข้าใจถูกหรือเปล่านะครับ ที่ผมเข้าใจก็คือ อย่างเช่นเราเข้า 202.29.30.49:80 ก็ให้วิ่งไปเปิดเครื่อง 192.168.2.19:80 ใชป่ะคับ ถ้าใช่เขาเรียกทำ DMZ ครับ
ใช้ ipnat ครับ
เปิด ipnat ให้ทำงานโดยเพิ่มในไฟล์ /etc/rc.conf ดังนี้
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

แล้วเพิ่มกฎนี้เข้าไปใน /etc/ipnat.rules
rdr rl1 0.0.0.0/0 port 8081 -> 192.168.0.252 port 80 tcp

โดย rl1 คือการ์ดแลนใบที่ต้องการให้ forward มา อาจจะเป็น ip จริงฝั่งที่ต่อกับอินเตอร์เน็ต โดยพอร์ต 8081 คือหมายเลขพอร์ตที่เรียกเข้ามา
เช่น การ์ดแลนใบนี้(rl1)มี ip 202.222.123.5 ถ้าเรียกผ่าน potocol http ก็เรียกโดยhttp://202.222.123.5:8081มันก็จะ forward ไปที่ 192.168.0.252 พอร์ต 80

ตัวอย่าง
rdr rl1 0.0.0.0/0 port 8081 -> 192.168.0.252 port 80 tcp
rdr rl1 0.0.0.0/0 port 22 -> 192.168.0.3 port 22 tcp
rdr rl1 0.0.0.0/0 port 80 -> 192.168.0.4 port 80 tcp
rdr rl1 0.0.0.0/0 port 25 -> 192.168.0.4 port 25 tcp

   
เพิ่มเติมครับ
เครื่องที่ทำ port forwarding ต้องมีแลนการ์ดอย่างน้อยสองใบ คือ ip จริง กับ ip ปลอม

ถ้าทำ port forwarding จาก router ใช้คำสั่งดังนี้ครับ
ip nat inside source static tcp 192.168.0.50 80 interface serial0 80

โดย 192.168.0.50 80 คือ ip ปลอม กับ พอร์ต ที่ต้องการให้ forward มา

serial0 80 คือ interface ฝั่ง WAN ที่ออกเน็ต

/sbin/iptab/sbin/iptables -t nat -A PREROUTING -p tcp -s x/x -d [ip.address ฝั่ง wan ของคุณ] -i [wan-interface-name] --dport 80 -j DNAT --to-destination 192.168.1.100:80


กรณีที่เรามี web1, web2 ถ้ากำหนด rules แบบนี้มันจะงงมั๊ยครับ

rdr rl1 0.0.0.0/0 port 80 -> 192.168.0.4 port 80 tcp
rdr rl1 0.0.0.0/0 port 80 -> 192.168.0.5 port 80 tcp

กำหนดซ้อนกันไม่ได้ครับ ถ้า 2 เว็บก็ต้องรันกันคนละ port ครับ

งั้นต้องเป็นแบบนี้รึเปล่าครับ

rdr rl1 0.0.0.0/0 port 80 -> 192.168.0.4 port 80 tcp (web1)
rdr rl1 0.0.0.0/0 port 81 -> 192.168.0.5 port 80 tcp (web2)

แล้วเวลาเข้าเวปล่ะครับ กรณีที่เป็น web2 ต้องเป็น www.web2.com:81 รึเปล่าครับ ถ้าเป็นอย่างนี้เราจะมีวิธีแก้ยังงัยครับให้ user เค้าเข้าได้แบบปกติน่ะครับคือ

www.web2.com อย่างนี้เลย...รบกวนด้วยนะครับ ผมสงสัยจริงๆ ขอบคุณครับ

0 comments:

Post a Comment

 
Design by GURU