Zitat:
Original geschrieben von RaistlinMajere
ich verstehe leider nicht ganz, wo da das problem sein soll.
immerhin kann ich für einen, wie für zwei webserver, die ja mit unterschiedlichen IPs angesprochen werden, FORWARD-regeln definieren, so z.b.
Code:
iptables -A FORWARD -d 160.0.0.5 --dport 80 -j ACCEPT
iptables -A FORWARD -d 160.0.0.6 --dport 80 -j ACCEPT
meinem verständnis nach wird, wenn die FW jetzt z.b. auf dem äußeren interface mit einem request auf eine der beiden webserver angesprochen wird, diesen entsprechend weiterleiten, oder?
ich verstehe daher nicht, wo da jetzt der große der unterschied liegt, ob ich einen oder mehrere webserver hinter der FW laufen habe. 
|
Nein das haut nicht hin, denn meistens hast ja nur eine "äussere" IP Adresse, sprich öffentliche, und dann weiß er ja nicht was er tun soll, soll er sie nun nach 160.0.0.5 oder .6 weiterleiten. Um es umgangsprachlich auszudrücken:
Die Firewall kriegt auf der öffentliche n IP eine Anfrage an den Port 80, jetzt kommen die Regeln zum Tragen. Also lt. Deiner Konfiguration wird die Anfrage an 160.0.0.5 Port 80 weitergeleitet, da die Regel vor der anderen Regel steht, und nachdem die Regel abgearbeitet wurde und die Anfrage ensprechend abgearbeitet wurde gibt eigentlich keinen Grund mehr die zweite Regel abzuarbeiten. Denn wie einer meiner Vorposter bereits gesagt hat, wird alles mal gesperrt und dann stück für stück geöffnet. kann man einen "Anfrage" Port nur auf eine IP weiterleiten (vorausgesetzt du hast nur eine Source (sprich öffentliche IP Adresse).
Ich hoffe das war nicht zu umständlich ;-)
Um jedoch das Problem mit 2 Webservern zu lösen, gibt eine ganz elegante Lösung, einfach beide Webseiten auf einem Server laufen lassen und somit all e Anfragen von Port 80 der öffentlichen IP an diesen Webserver weiterleiten und erst am Webserver die Unterscheidung zu treffen (aufgrund der Angefragten Domain) welche "index.htm" er nun zurück gibt.