Как я могу настроить веб-сервер за двумя маршрутизаторами?

3309
tombull89

Я понимаю, что это может быть лучше подходит для ServerFault, но это моя домашняя сеть, в которой я работаю в непрофессиональной среде.

Дома у меня есть основной маршрутизатор, подключенный к Интернету, с которого работают основной семейный компьютер и ноутбук. У меня также есть сеть "разработки" с брандмауэром m0n0wall в ВМ для предоставления интернет-услуг. Я хочу разместить веб-сайт (и, в конечном итоге, другие службы) на одной из машин в сети dev, но не могу понять, как «перенаправить порт» через мой основной (belkin) маршрутизатор, через брандмауэр m0n0wall, а затем через веб-сервер. ,

Трафик должен проходить через общедоступный ip, проходить через порт 80 основного маршрутизатора (192.168.2.1), а затем перенаправляться через WAN-соединение блока m0n0wall (192.168.2.2) из ​​соединения LAN (192.168.10.2). ) и, наконец, в сервер. После сохранения конфигурации я не могу работать, пока она не работает. Я могу разместить сайт нормально за основным маршрутизатором. На m0n0wall существует правило брандмауэра для прохождения трафика порта 80 через 192.168.2.1, но оно просто не работает.

Ниже я нарисовал очень простую диаграмму (к сожалению, все продвинутые вещи из Visio в настоящее время являются для меня чёрной магией).

Как я могу настроить веб-сервер за двумя маршрутизаторами?

6
небольшие сетевые вопросы для личного использования находятся на теме KronoS 12 лет назад 1
Вы можете получить доступ к веб-серверу с вашего семейного компьютера? Я думаю, тебе нужно, чтобы это сработало. Как только это сработает, то заставить Белкин работать должно быть легко. Zoredache 12 лет назад 0
Как выглядит ваше правило брандмауэра в m0n0wall? MaQleod 12 лет назад 0
@MaQleod - http://i.stack.imgur.com/sFCoJ.png. tombull89 12 лет назад 0
@ Zoredache - нет. Похоже, я начну там. tombull89 12 лет назад 0
@tombull: обратите внимание, что правила брандмауэра работают с проходящими данными, они не пересылают полученные данные. Следовательно, IP-адрес источника относится к IP-адресу, который отправил фактический пакет, который, скорее всего, является Интернетом. Например, если у меня есть веб-сервер; тогда мой журнал будет показывать IP-адрес посетителя для каждого запроса, а не IP-адрес основного маршрутизатора. В вашем главном маршрутизаторе вы сказали «сделать так, чтобы трафик порта 80 явно шел на M0n0wall», который только изменяет адрес назначения на брандмауэр, поэтому он не попадает на ваш веб-сервер. Зачем вам нужен отдельный роутер и брандмауэр? Tom Wijsman 12 лет назад 0
@ Том, теперь я это понимаю. Маршрутизатор и ПК основного семейства принадлежат моим родителям, а межсетевой экран служит шлюзом для моей сети разработки. На самом деле, мне это не нужно, я мог бы сделать это с помощью подсетей (я бы просто предпочел избежать вмешательства в работу маршрутизатора, * только потому, что *) tombull89 12 лет назад 0

2 ответа на вопрос

1
Tom Wijsman

  1. Отдельный диапазон IP не требуется, он будет работать без него, поскольку межсетевой экран расположен между кабелями.

  2. Ваш основной маршрутизатор должен перенаправить на веб-сервер, а не на брандмауэр.

  3. Ваш брандмауэр должен принимать любой адрес источника, основной маршрутизатор не перезаписывает адрес источника.

    Это также позволяет получить доступ с вашей семейной машины.

  4. Ваш брандмауэр также должен позволять трафику идти на другую сторону.

  5. Используйте Can You See Me и Wireshark для более детального устранения неполадок.

Спасибо, Том. Belkin имеет сетевую маску 255.255.255.0, поэтому он даже не дает мне возможности перенести порт на 192.168.10.250 (бит 192.168.2 жестко задан), так как я могу переслать его напрямую на веб-сервер? tombull89 12 лет назад 0
Я думаю, что, возможно, переоценил свои возможности IP-адресации ... tombull89 12 лет назад 0
@tombull: Другой вариант - явная пересылка трафика порта 80 с внешнего IP-адреса брандмауэра на IP-адрес веб-сервера в конфигурации брандмауэра, но я не знаю, сможет ли это сделать M0n0wall. Размещение всего в одном диапазоне IP-адресов может решить эту проблему ... Tom Wijsman 12 лет назад 1
@tombull: Если M0n0wall не может пересылать пакеты, вам нужно будет поместить их все в одну подсеть или запустить какую-либо службу DNS, иначе маршрутизатор Belkin не будет знать, где находится веб-сервер. surfasb 12 лет назад 0
1
tombull89

Хорошо, я наконец-то решил это и получил это, как я хотел. Вместо того, чтобы m0n0wall box переадресовывал пакеты дважды, я переместился в измененные подсети. Теперь у меня есть Linksys E1000 на основе DD-WRT, работающий в «режиме клиента», так что он действует как «клиент» для семейства беспроводных сетей и имеет сервер DHCP / DNS, обслуживающий проводные соединения в сети разработки. Я изменил маску подсети с 255.255.255.0 на 255.255.252.0 на маршрутизаторе Belkin и на DD-WRT. Белкин на 192.168.2.1 и DD-WRT на 192.168.1.1. Машины в каждой сети могут видеть друг друга, поэтому, если я установлю в своей сети dev машину со статическим 192.168.2.x, Belkin сможет перенести ее на нее.

Время диаграммы: enter image description here

Я понятия не имею, может ли m0n0wall пересылать пакеты, но подсеть, кажется, был самым простым способом добиться этого.

Я могу порекомендовать Wolfram Alpha для удобной информации о подсетях.

Если кто-то думает, что мне лучше переписать вопрос, пожалуйста, скажите. tombull89 12 лет назад 0
Вы можете указать, что вам нужно перенаправить порты на обоих маршрутизаторах, чтобы полностью указать веб-сервер разработки. KronoS 12 лет назад 1

Похожие вопросы