ipcop 1.3.0 2eme serveur http

[tonic23]

comment puis je rajouter un 2eme serveur http(donc une autre ip) dans ma DMZ <BR>et pouvoir ouvrir sur celui ci le port 80 . <BR>a priori ipcop n'autorise pas a forwarder le port 80 sur 2 adresses ip differentes. <BR> <BR>est il possible de rentrer la regle iptables a la main si oui dans quel fichier et avec quelle synthaxe? <BR> <BR>merci d'avance.

[tomtom]

IPCop n'est pas un génie... <BR> <BR>Comment peut-il deviner vers quel serveur tu veux te connecter ? <BR> <BR>Tout ce qu'il sait faire, c'est router un paquet qui lui arrive sur le port 80 vers une autre ip eventuellement sur le port 80 aussi. <BR> <BR>Je te propose les solutions suivantes : <BR> <BR>1- tu utilises un autre port, mais les gens qui se connectent doivent le connaitre... <BR> <BR>2- tu utilises les servuers virtuels d'apache, ce qui fait que le serveur saura reconnaitre le nom avec lequel ili est adressé, et ansi tu mets 2 serveurs web sur le même apache.... <BR> <BR>3- tu attends que lucyfire ou moi-même ayons réussi à compiler un noyau pour faire fonctionner le module strind de iptables, pour pouvoir reconnaitre le nom de l'un des serveurs et eventuellement router vers le bon alors (en sachant que cela est gourmand en CPU et assez limité...) <BR> <BR>Thomas

[titchek]

C'est quoi le but ?? <BR> <BR>Car s'il s'agit de gerer 2 sites différents, tu peux le faire avec Apache, avec les directives VirtualHost (et tu n'as pas besoin de 2 adresses IP défférentes). <BR> <BR>De mémoire la directive VirtualHost fonctionne en Apache 1.3 et en 2.0, <BR> <BR>par contre en 2.0, je n'ai pas encore bien regardé les fichiers de config car il existe maintenant une directoty Virtualhost contenant des fichiers Virtualhost, fichiers qui doivent être inclus dans httpd.conf au démarrage d'Apache. <BR> <BR>Je suis en train de regarder ça dans la doc donc je ne suis pas tout à fait sûr ! <BR> <BR>Bonne journée

[titchek]

Désolé Tomtom, je n'avais pas vu ta réponse... la mienne fait double emploi...

[wann]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-26 17:13, tonic23 a écrit: <BR>comment puis je rajouter un 2eme serveur http(donc une autre ip) dans ma DMZ <BR>et pouvoir ouvrir sur celui ci le port 80 . <BR>a priori ipcop n'autorise pas a forwarder le port 80 sur 2 adresses ip differentes. <BR> <BR>est il possible de rentrer la regle iptables a la main si oui dans quel fichier et avec quelle synthaxe? <BR> <BR>merci d'avance. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>En lisant la doc concernant l'IP aliasing... <BR>Note qu'il faut avoir plusieurs IP publiques statiques pour utiliser cette fonctionnalité. <BR> <BR>Sinon, il te faudra utiliser la technique de VirtualHost de Apache. Donc au niveau de ton serveur Web , et pas de ton IPCop. <BR>

[titchek]

Sauf erreur de ma part, je ne pense pas que l'IPaliasing soit la solution. <BR> <BR>L'ipaliasing va permettre de créer 2 adresses IP (ou plus exactement 1 adresse et une sous-adresse sur la même carte ETHx). Si j'ai bien compris, là n'est pas la question car que l'on cherche à adresser avec IPcop 2 adresses sur 2 cartes ETH ou 2 adresses sur une seule carte ETH, le problème reste entier : comment forwarder sur 2 IP différentes... A ma connaissance, ce n'est pas faisable (naturellement ?) dans IPcop. <BR> <BR>Bonne soirée <BR>

[tomtom]

C'est possible, mais il faut trouver un critère de tri. Ex : sur l'ip source... <BR> <BR>Mais la je ne pesne pas que ce soit le but.... <BR> <BR> <BR>Quand à l'aliasing, c'est vrai que cela peut fonctionner. (attention, on ne parle pas ici d'alias pour le cote orange mais pour le coté red). La i lest alors tout à fait possible de faire ce que tu souhaites... <BR> <BR>Encore faut-il posseder deux ip publiques, ce qui n'est pas le cas d ebeaucoup de monde. <BR> <BR>Thomas

[tonic23]

c'est bien de 2 serveurs differents qu'il s'agit. donc 2 carte eth avec 2 ip differentes dans le meme reseau bien entendu!! <BR>a priori les transferts de ports inscrits dans l'interface cgi sont dans un fichier dans /var/ipcop/... avec tous les fichiers <BR>demain essai avec 1 forward du port ecrit dans le fichier (a mano)... + test on verra bien si cela tourne........ <BR>

[tomtom]

Ce n'est pas la peine de tester, ca ne fonctionnera pas.... <BR> <BR>Le forward de port fonctionne de la manière suivante : <BR> <BR>un paquet arrive sur l'interface red: <BR>Ip destination : ip publique d'ipcop (fournie par le FAI), <BR>Port destination : 80 <BR> <BR>il traverse une chaine de netfilter appelée prerouting (tu peux voir ca dans le fichier grace à la syntaxe iptables : <BR>iptables -t nat -A PREROUTING. <BR> <BR>prerouting, cela veut dire "avant d'etre routé". Donc avant de savoir ou il va l'envoyer par le mecanisme classique de routage, il traverse cette chaine. <BR>En général, on matche alors sur le port destination. <BR> <BR>Typiquement, tu vas avoir ceci : <BR> <BR>iptables -t nat -A PREROUTING -i $IFACE_RED --dport 80 <BR> <BR>le $IFACE_RED, c'est pour dire que ca ne marche qu'avec les paquets arrivant du red (ben oui, on ne veut pas forwarder pour le green. Si on veut quand même le faire, il suffit de supprimer le -i $IFACE_RED) <BR> <BR>ensuite, on dit quoi faire... Completons donc ntre règles : <BR> <BR>iptables -t nat -A PREROUTING -i $IFACE_RED --dport 80 -j DNAT --to 192.168.1.5:80 <BR> <BR> <BR>avec bien sur 192.168.1.5 l'adresse de ton serveur web. <BR> <BR>Cette règle est générée automatiquement par le GUI. <BR> <BR>Toi, tu veux en rajouter une (disons exactement la même, mais vers le serveur 192.168.1.10) <BR> <BR>iptables -t nat -A PREROUTING -i $IFACE_RED --dport 80 -j DNAT --to 192.168.1.10:80 <BR> <BR> <BR>ben oui, mais le problème c'est que dès que iptables a trouvé un truc qui colle, il fait ce qui est dit puis il arrête.... En clair, si tu fais ça, il continuera de tout envoyer vers le premier serveur. <BR>Si tu mets ta règle avant, il enverra vers le deuxième... <BR> <BR>Mais comment veux-tu qu'il choisisse vers lequel envoyer ???? <BR> <BR>Soit tu lui donne un paramètre (je ne sais pas moi, toutes les ip 10.10.10.10 vont vers serveur A, les autre vers serveur B.. par exemple) <BR> <BR>soit tu essaye de faire du load balancing (un truc aléatoire, ou alors un paquet sur deux pour chaque serveur...) <BR> <BR>Soit tu detectes l'adresse rentrée dans le browser (module string de iptables) et pour ça tu te reportes aux messages concernat le module string <BR> <BR>soit tu renvoies tout vers un seul serveur, mais celui-ci detecte ce qui est tapé ddans la barre d'adresse (virtual hosts) et eventuellement il redirige ce qui n'est pas pour lui vers un autre.... <BR> <BR>Ce sont tes seules possibilités ! <BR> <BR>Thomas