it-swarm.com.de

Gemeinsame Nutzung einer statischen IP-Adresse für FTP- und WWW-Dienste

Der Versuch, herauszufinden, wie der Zonendatensatz aktualisiert und der Webserver so konfiguriert wird, dass eine Anwendung auf dem Webserver für die Öffentlichkeit zugänglich ist. Ich bin nicht ganz gut in NS/DNS/NAT/Firewall/Routing/Portweiterleitung/Networking usw.

"faraday" ist der Name des Intranets. Jeder im lokalen Netzwerk kann auf alle auf "faraday" gehosteten Anwendungen zugreifen. Der Hostname für den Webserver lautet "www", der FTP-Server "ftpserver". Beide Server mit RHEL4 OS.

Ziel ist es, dass jeder außerhalb des Unternehmensnetzwerks (öffentlich) auf nur eine der vielen Anwendungen auf "faraday" zugreifen kann. Hoffe, jemand kann mir bei einigen der folgenden Fragen helfen, wenn nicht bei allen.

  • Aus dem zoneedit-Datensatz wird die statische IP-Adresse jetzt von FTP verwendet.
  • Kann ich dieselbe vorhandene statische IP - 219.95.10.100 für den Webdienst verwenden?
  • Derzeit wird jeder, der "http://www.abc.com.my" eingibt, zu "http://www.abc.com" weitergeleitet. Ich möchte nicht, dass sich das ändert.
  • Derzeit kann niemand außer Mitarbeitern im lokalen Netzwerk auf "faraday" -Webseiten zugreifen.
  • So konfigurieren Sie, dass jeder, der in seinem Webbrowser "http://thisapp.abc.com.my" eingibt, über die URL zu "http: // faraday/thisapp" (Anwendungsordner ist/var/www/html/thisapp auf dem RHEL4-Webserver).
  • Wenn möglich, wird beim Festlegen der URL weiterhin "http://thisapp.abc.com.my" anstelle von "http: // faraday/thisapp" angezeigt.
  • So beschränken/beschränken Sie Benutzer (die nicht aus dem lokalen Netzwerk stammen), sodass sie nur Zugriff auf "http://thisapp.abc.com.my" haben, nicht jedoch auf "http: // faraday" oder "http: // faraday/anotherapp "usw.
  • Welche Konfigurationsänderungen sind in /etc/httpd.conf auf dem Webserver erforderlich?

Der Domainname des Unternehmens lautet "abc.com.my". Es folgen die Zonendatensätze auf www.zoneedit.com.

Subdomain   Type    IP
sdsl        A       219.95.10.100
ftp         CNAME   sdsl.abc.com.my
@           NS      ns3.zoneedit.com
@           NS      ns7.zoneedit.com

WebForward-Datensatz:

New Domain        Destination           Cloaked
www.abc.com.my    http://www.abc.com    N

Auf meinem lokalen DNS-Server befinden sich 2 Zonendateien: abc.com.my und pnmy.abc.com.

> cat abc.com.my.zone
ftp     CNAME   ftp.pnmy.abc.com.
sdsl    A       219.95.10.100

> cat pnmy.abc.com.zone
ftp         CNAME   ftpserver
ftpserver   A       172.16.5.1
faraday     CNAME   www
www         A       172.16.5.2
1
user11496

Um einige Ihrer Fragen unten zu beantworten

  • Ja, Sie können dieselbe IP für FTP- und WWW-Dienste verwenden. Ihr Webserver und Ihr FTP-Server werden an zwei verschiedenen Ports ausgeführt. Sie müssen nur den Zugriff auf diese Ports auf Ihrem Server zulassen.
  • Wie werden Besucher umgeleitet? Ich würde entweder DNS oder .htaccess verwenden, um umzuleiten
  • Verwenden Sie .htaccess, um den Zugriff auf Ihr lokales Netzwerk nach IP-Adresse oder Domainnamen zu beschränken
  • Verwenden Sie .htaccess, um umzuleiten

Die meisten Einschränkungen können mit .htaccess und oder mit Ihren iptables eingerichtet werden

1
Anagio

iptables ist eine nützliche Sicherheitsschicht. Abgesehen davon, dass die Ports für die Dienste außerhalb des LAN geöffnet werden, bietet es auch eine unglaubliche Granularität bis hin zu bestimmten Protokollen (siehe Option --multiports). Sie können Pakete von IPs ablegen, die sich nicht in einem Subnetz Ihres LAN befinden und bestimmte Ports oder Protokolle anfordern. Dies ist sehr praktisch.

Sie können Apache auch so konfigurieren, dass unerwünschte Gäste auf ähnliche Weise über das Modul Access Control ignoriert werden. NB: Die Formatanweisungen "order deny, accept" sind (beunruhigend!) jetzt offiziell veraltet und Apache rät dazu, sie nicht zu verwenden. Scheint, dass sie mit 2.5 eine neue Require -Syntax eingeführt haben, die ich brauche, um mich zurechtzufinden, wenn ich Access Control stark nutze.

Das Nützliche an der Zugriffssteuerung ist, dass Sie CIDR verwenden können, um zulässige/verweigerte Bereiche zu definieren, sodass Sie nur jedem außer 192.168.1.0/24 den Zugriff auf den Webserver verweigern können. :-) Und wenn Sie Lust haben, können Sie es auf eine andere Webseite (vielleicht Extranet oder öffentliche Webseite?) Umleiten lassen, wenn ein verweigerter Benutzer den Intranetserver betritt.

0
Chris Woods