Как вместо роутера заставить пробрасывать порты сервер на Debian?

Question

[Валерий Сотников]

Всем привет!

Схема сети банальна:
Интернет <-> роутер <-> LAN

В LAN сервер с несколькими виртуальными машинами у которых сетевой мост к роутеру, т.е. виртуальные машины будто подключены напрямую к роутеру.

IP адреса машин в сети:

Физ. сервер     192.168.1.20    (Proxmox 3.3)
– openvz 100    192.168.1.200   (Debian 7, используется как WEB-сервер)
– openvz 101    192.168.1.201   (Debian 7, используется как FTP-сервер)
– openvz 102    192.168.1.202   (Debian 7, предполагается использовать вместо NAT'а роутера)

Сейчас на роуторе настроено перенаправление портов (NAT):

*:22 -> 192.168.1.20:22
*:80 -> 192.168.1.200:80
*:21 -> 192.168.1.201:21

Сейчас хочу перебрасывать все порты на виртуальный сервер, а его заставлять решать что делать.

Роутер получит следующие настройки:
*:* -> 192.168.1.202:*

Вопрос: как правильно настроить сервер "102" на перенаправление, что надо устанавливать и как конфигурировать?

Я еще хочу что-бы была такая возможность перенаправления на сервере:

test.ru:80      -> 192.168.1.200:80
test.ru:22      -> 192.168.1.20:22
test.ru:3022    -> 192.168.200:22
demo.ru:80      -> 192.168.1.1:80
*:21            -> 192.168.1.201:21

где test.ru и demo.ru оба указывают на глобальный IP роутера.

Answer 1

[Владимир]

test.ru:80 -> 192.168.1.200:80
demo.ru:80 -> 192.168.1.1:80

разные домены...
этот фокус не пройдет обычным DNAT
нужно чем-нить умнее (например, c помощью nginx)

остальное правилами iptables

iptables -t nat -A PREROUTING -d 192.168.1.202 -p tcp -m tcp --dport 3022 -j DNAT --to-destination 192.168.1.200:22
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.200 -p tcp -m tcp --dport 22 -j ACCEPT

далее по аналогии

Comments

[Валерий Сотников]

Отлично, имею возможность использовать nginx. Как раз он и стоит на "100" виртуалке, на которую планируется повесить задачи по перенаправлению.
Предлагаете использовать это (nginx.org/ru/docs/beginners_guide.html#proxy)?
Если да, то не смогу пробросить защищенные соединения типа SSL, а хотелось-бы, или это вовсе никак?

[Владимир]

да, обычный proxy_pass
SSL не нужно пробрасывать
его отлично сам nginx будет держать в сторону клиента

[Владимир]

т.е. nginx ставить в 102 контейнер

[Валерий Сотников]

А вот такие вещи:
test.ru:22 -> 192.168.1.20:22
test.ru:3022 -> 192.168.200:22
nginx не осилит?

[Владимир]

скорей всего нет (если имеется ввиду именно ssh)