Проброс портов в обе стороны средствами Windows Server 2003

Question

[faddistr]

Имеется данная ОС, в маршрутизации и удаленном доступе создано правило которое позволяет получить через внешний айпи сервера доступ к машине за натом по 80 порту, но когда кто-то из локальной сети пытается подключится через реальный адрес сервера то выдает сбой подключения.

Можно ли как-то настроить проброс портов в обе стороны штатными средствами?

Comments

[Роман]

Неплохо бы уточнить схему сети…
Т.е. скажем есть сервер SW1 с локальным адресом 10.0.0.10 и есть маршрутизатор с адресом 10.0.0.1, в котором проброшен 80 порт снаружи внутрь?
Или публичный айпи сидит на самом сервере, а на маршрутизаторе проброшен только порт?

[faddistr]

отписался ниже.

Answer 1

[Владимир Дубровин]

Нет, сейчас у вас проброс портов средствами NAT, он будет работать только если входящий пакет пришел из внешнего интерфейса. Из внутренней сети без NAT этот вариант не пройдет, т.к. клиент обратившийся на сервер по внешнему адресу получит ответ не с внешнего адреса, а с внутреннего. Варианты решения следующие:
1. Делать DMZ-сеть, уносить сервер туда. В DMZ-сети использовать реальные адреса, либо на сервере конфигурировать и внутренний адрес и внешний, из внутренней сети настроить роутинг на «внешний» адрес в DMZ-сеть.
2. Держать внешнюю и внутреннюю DNS-зону, во внутренней зоне прописывать внутренний адрес Web-сервера
3. Ставить портмаппер или прокси работающий на прикладном уровне и действительно «слушающий» порт, а не делающий трансляцию сетевых пакетов.

Comments

[PuzzleW]

пункт 2 выполним гораздо эффектнее правкой файла hosts или же заведением требуемого домена в оснастке DNS (не рекомендую, т.к. придется туда все записи реального DNS переносить и синхронизировать)
пункт 3 быстро и просто делается при помощи tcppm www.3proxy.ru/doc/html/man8/tcppm.8.html типа tcppm -i <ваш внутренний ip> 80 127.0.0.1 80

[PuzzleW]

А если совсем по вашему, то
tcppm -i 86.ххх.хх.хх 80 192.168.4.1 80
tcppm -i 86.ххх.хх.хх 80 192.168.3.1 80
tcppm -i 86.ххх.хх.хх 80 192.168.2.1 80
tcppm -i 86.ххх.хх.хх 80 192.168.1.1 80

или же посмотрите на комбинацию -e<ваши внутрение адреса> 80 CS 80
так тоже правильно.

[PuzzleW]

ох жеж! z3apa3a, я и не знал что вы это вы :) спасибо за 3proxy и tcppm!!! опыт использования большой, и все очень стабильно и хорошо работает :)

Answer 2

[faddistr]

есть виньсервер(скажем некий WS) с ип адрессом наружу 86.ххх.хх.хх(wan0) и есть 4 интерфейса 192.168.1.1 (lan1), 192.168.2.1(lan2), 192.168.3.1(lan3), 192.168.4.1(lan4), за виньсервером есть вебсервер(колинукс с убунтой) 192.168.4.2(скажем некий CS). В маршрутизации и удаленном доступе все 4 интерфейса добавлены в нат и им расшарен интернет через wan0, также средствами виньсервера(Свойства WAN0-вкладка службы и порты) проброшен порт 80 на CS. Клиенты за интерфейсом wan0 могут работать с CS через адресс 86.ххх.хх.хх, а вот клиенты с lanX только через 192.168.4.2. Но хотелось бы всем дать возможность работать через 86.ххх.хх.хх.

Иными словами виньсервер слушает 80й порт только на wan0, а хотелось бы чтобы на всех 4х.

Comments

[faddistr]

т.е. 5

Answer 3

[amc]

Есть совсем простой метод решения: split-brain DNS

Comments

[PuzzleW]

спасибо, полезная вещь.