DNS-сервер в роли шлюза NAT...

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
test_terr
проходил мимо
Сообщения: 2
Зарегистрирован: 2011-09-27 8:28:26

DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение test_terr » 2011-09-27 8:34:41

Суть: Клиент сначала обращается к нашему DNS-серверу. С помощью DNS-сервера (с ip 1.2.3.4) вместо адреса web-сервера 88.777.666.555, мы клиенту отдаем 1.2.3.4, тогда на ДНС-сервере с ip 1.2.3.4 (например с помощью pf, natd или еще как то) мы делаем редирект или что-то другое, чтобы переходить на 88.777.666.555 и, наверное, nat для правильного хождения ответов и тогда владелец сервера 1.2.3.4 оплачивает весь трафик.

Для чего нужно:
web-сервер - это интернет магазин, который находится вне нашего города. Трафик для доступа к этому сайту расходуется внешний, а люди, находясь, например, на работе не могут пользоваться этим сайтом, т.к. вся внешка на предприятиях, обычно заблокирована (весь городской трафик не считается в нашем городе внешкой и используется без ограничений).
Поэтому необходимо, сделать так, чтобы клиенты, обращаясь на сайт по имени gorod.magazin.ru , получали вместо внешнего ip-адреса адрес самого сервера ДНС (это наш ДНС сервер, который резолвит gorod.magazin.ru). Как раз это не прблема - поменять ip-адрес в нужной зоне.
Далее уже сам сервер ДНС от своего имени должен обращаться к сайту интернет магазина, передавал web-запрос на сайт интернет магазина, принимал от него ответ и возвращал клиенту.
Помогите, пожалуйста, настроить (с примерами). Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
diz
рядовой
Сообщения: 13
Зарегистрирован: 2010-08-10 15:16:08
Откуда: Kiev

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение diz » 2011-09-27 10:44:21

АААА! С утра мозг сломал!!!)
May the source be with you!!!

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение Gamerman » 2011-09-27 10:54:54

Проксю поставте и заворачивайте на нее все, что должно идти на инет-магазин.
Глюк глюком вышибают!

Аватара пользователя
Miguel
ефрейтор
Сообщения: 58
Зарегистрирован: 2011-03-28 8:56:22

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение Miguel » 2011-09-27 11:14:23

это, наверное, можно сделать с помощью проксирующего web сервера. кусок конфига nginx:

Код: Выделить всё

server {
    server_name primer.ru;

    location / {
        proxy_pass        http://ya.ru:80;
        proxy_set_header  Host       $host;
        proxy_set_header  X-Real-IP  $remote_addr;

    }

}
как-то так. ну, и , скорее всего, правила реврайтов надо писать, чтоб все корректно проксировалось, а то так-то получается скорее редирект, а это вас не устроит.
Даже стеклотара чья-то аватара.

Гость
проходил мимо

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение Гость » 2011-09-27 11:32:03

Я уже пробовал настроить сквид на ДНС-сервере (но не получилось). Сквид не работал - файл access.log пустой. Как только непосредственно в IE клиента прописываешь адрес прокси сервера, то начинает работать.
В стандартный squid.conf добавлял следующее:

Код: Выделить всё

http_port 80 accel defaultsite=gorod.magazin.ru vhost 
cache_peer 88.777.666.555 parent 80 0 no-query originserver name=myAccel 
 
acl our_sites dstdomain gorod.magazin.ru 
http_access allow our_sites 
cache_peer_access myAccel allow our_sites 
cache_peer_access myAccel deny all 
 
Может что еще нужно было сделать ? (думал. что pf фильтр что - то блокирует, пробовал отключать - не помогало)

Аватара пользователя
diz
рядовой
Сообщения: 13
Зарегистрирован: 2010-08-10 15:16:08
Откуда: Kiev

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение diz » 2011-09-28 22:35:25

Добавте в конфиг сквида http_port 3128 transparent и заверните весь http трафик на него. Вот http://www.lissyara.su/archive/squid_old/ пригодится
May the source be with you!!!

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение ADRE » 2011-09-29 5:12:52

ёбановрот, просто используйте для внутригородского трафика либо субдомен либо другой домен, и не надо геморой разводить...
//del

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение snorlov » 2011-09-29 12:55:06

Я вообще не понял задачи, ведь можно посчитать трафик на этот магазин и выставить счет владельцу и не считать этот трафик у клиентов...

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: DNS-сервер в роли шлюза NAT...

Непрочитанное сообщение suspender » 2011-09-29 18:40:28

Miguel писал(а):

Код: Выделить всё

server {
    server_name primer.ru;

    location / {
        proxy_pass        http://ya.ru:80;
        proxy_set_header  Host       $host;
        proxy_set_header  X-Real-IP  $remote_addr;

    }

}
как-то так. ну, и , скорее всего, правила реврайтов надо писать, чтоб все корректно проксировалось, а то так-то получается скорее редирект, а это вас не устроит.
Да не, итак должно нормально проксировацца. У меня вообще тупо директивой

Код: Выделить всё

server {
                listen 80;
                server_name primer.ru;

                location / {
                        proxy_pass http://10.0.1.15;
                }
        }
Извне запросы отдаются на другой нгынкс + uwsgi (ага, жанго) в локалку. Соответственно, если бы был тупо редирект - то извне до машины с ip 10.0.1.15 достучацца не удалось бы, а так все работает нормально.
Ну и соответственно топик стартеру тоже должно подойти.