server 2008 a DNS A záznam a IIS (lokál/veřejná IP)
Zkusil jsem si vytvořit záznam v DNS server. Jde mi o to, že jsem si nasměřoval jednu doménu na svou veřejnou IP, kde jsem si na mikrotiku forwardnul port na jeden lokální PC (80ku), ale když si na tu doménu najedu skrze jiný lokální PC, tak mi najede webové rozhraní mikrotiku.
Řešení je tedy skrze DNS záznam na našem serveru. Vytvořil jsem si novou zónu pro EU a CZ domény (každé to je jako jedna zóna) a v nich udělal příslušný A záznam s vnitřní IP.
Takže v DNS u wedosu mám A záznam na veřejnou IP a v lokále kde využíváme náš server mám pro lokál.
Problém je v tom, že z venku to šlape ale v lokále nikoli (sice nasměřuje), ale problém je už u IIS. Neustále hlásí že na to nemám oprávnění pro zobrazení. V nastavení webu v IIS sem si nastavil ověření na uživatele co má admin práva a najednou to hlásí chybu 500.
IIS, PHP a MySQL je instalováno pomocí utility na php.iis.net
nerozumím, proč do toho montuješ DNS, to je evidentně dobře.
problém je s tím, že používáš autentikaci na úrovni OS, proč? Pro běžné webstránky se přece autentikace nechává na anonymous.
jelikož jsem popsal raději vše co jsem udělal, zda jsem tam někde neudělal chybu
takže to mám nechat tak jak se to nainstaluje?
Ano. Předpokládám, že ti tam běží nějaký "veřejný" web.
veřejně soukromý :) ... je to jen testovací, ovšem né vždy pracuji z lokálu, tak musím i z venku, takže máš pravdu veřejný :)
Spravna odpoved je source nat a maskarada, ziadne dns blbinky (naco posielat packet prec a vracat ho znovu spat).
abych pravdu řekl, tak s mikrotikem nějak kamarád nejsem. teď když si najedu na tu danou doménu co je směřovaná na veřejnou z lokálu, tak mi to hodí www rozhraní mikrotiku
on si chce na ten server sáhnout i z LAN, tam mu NAT nepomůže...
ano, z venku mi to jede v pohodě
Pokial som spravne pochopil zadanie, tak jedine co mu pomoze je maskarada na source nat. On si chce siahnut na svoju domenu znutra. Lenze MT ocakava forwarding na wanku a nepresmeruje poziadavku, preto treba spravit source nat s maskaradou.
Cize do src address das svoju lanku do dst das ip adresu servera, dst port, chain je samozrejme src nat a action maskarada. Toto sposobi to, ze packet z lanky bude nasmerovany priamo na server.
počkej, maškarádu tu máme už funkční.
nepůjde spíše dst ip a dst port? src ip bych musel všechny IP v lance růčo ne?
Neplet si maskaradu (nat) s touto specialitkou;o). Tu neurcujes interface, kde sa ma robit tu urcujes sorce adress a dst adress a port pre ktory sa maskarada ma robit.
počkej, teď jsi mne v tom zamotal více než jsem byl :) ..
vem si, že můj PC je na 192.168.1.100
WWW server je na 192.168.1.3
router na 192.168.1.1
veřejná je (nebudu udávat reálnou, uvedu lokálhost) 127.0.0.1
jak to teda bude vypadat?
Tak ja mam sice flasu vina v sebe, ale comu si nerozumel?
chain srcnat, src address 192.168.1.0/24 dsto address 192.168.1.3 protocol tcp, dst port 80, action maskarada.
počkej, ale to mi nepůjde vůbec web ne? tohle je, že vše na 80ce z rozsahu 192.168.1.0/24 pujde na 192.168.1.3 to nejde :)
Je to marny, je to marny, je to marny.
ty máš víno, já pivko :) .. v tomhle jsem úplně mimo.. mikrotik mi byl nastaven a osobně s ním neumím, nedostal jsem se k tomu se s ním naučit
NAT funguje jen mezi dvěma rozhraními a NESMÍ se jednat o lokální IP adresu některého rozhraní routeru. Tedy nemůžeš NATovat jinam IP adresu vlastního routeru, resp. to nebude fungovat, protože do dané iptables tabulky to vůbec nedojde (půjde to do INPUT-OUTPUT, ale už ne FORWARD a už vůbec ne -t nat PREROUTING (SNAT) nebo POSTROUTING (DNAT), protože se to, z důvodů výše uvedených nebude ani routovat ani natovat, ale "vyřídí se to" lokálně).
To s DNS má naopak naprosto správně, je to navíc i nejjednodušší a nejčistší řešení. Jeho problém není DNS nebo firewalling, ale konfigurace IIS, kterou má buď rozdrbanou, nebo nesprávnou, protože v defaultu to musí chodit (je tam anonymní přihlášení a poslech pro všechny IP adresy včetně lokálních).
nyní jsem reinstalnul www server (je v hyper-v) a vše chodí, rozjel sem si tam více webů do odlišných složek. vše funguje. jako vazby jsem nastavil jen DNS jména a né IP, IP je nastavena pro web s jménem default.
už jen udělat to správné směřování určitých domén. takže říkáš že nejjednodušší to je skrze DNS?
řešení na MS Win...
nové zóny pro CZ, EU, COM a nastavit A záznamy a je to vyřešené
ovšem to nefunguje pro subdomény (pokud tam nedám *.domena) zda to chápu
Na subdomeny pouzi cname alebo rovno *.domena a subdomeny nech riesi priamo web server.
Inak stale nechapem ako ti to moze fungovat, asi som nepochopil zadanie, pretoze vo vseobecnosti, ked posielas poziadavku na hostname z lanky, dostanes od externeho dns odpoved na verejnu ip adresu (tu predpokladam ma MT) a ten by sa mal pokusit cez port forwarding (INPUT--->NAT) forwardnut na internu ip web servera.
Lenze problem je, ze packet prisiel z lan a cely port forward je nastaveny na INPUTe a packet prichadza od preroutingu, kde forwarding portu nefunguje. Preto treba spravit na danu ip srcnat maskaradu.
Jak jsem psal.. máme tu vlastní DNS server a řadič domény apod..
Nyní jsem zrestartoval IIS a přestalo to chodit, hází to jen 500 a ve skutečnosti je to pověření. Když to nenechám na defaultu, ale dám pověření jako admin, tak to jede.. Dál mi to nehází ani syntax errory, nebo alespon do logů a to file log existuje a cesta na něj je správná.
IIS jsem si vybral místo apache jen kvůli té správě webů. jelikož toto umím v IIS, ale v apachi zase ne ... :)
Aha zacinam to chapat, precital som si este raz zadanie a vidim Acko s internou IP...takze je to uz jasne. Pre buducnost, ak budes mat dnska mimo svojej siete a jak acko tak cname nastavene na verejnu ip adresu MT musis pouzit src nat na konkretnu privatnu ip z lanky ako som pisal vyssie. Tvoje riesenie ma totizto nevyhodu, ze pokial mam nastavene svoje dns servre u teba na sieti tak sa na ten server proste nedostanem. Moje je univerzalne.
To preco ti to hadze 500 uz neviem, pokial nedodas chybu a nevidim konfig tazko povedat.
Apache je na spravu webov naozaj jednoduchy, ziadne klikanie len prehladne konfigy aj ked od 2 verzie je trosku chaos pri ssl strankach, ale to je tak asi vsetko co by som mu vytkol.
Chlape, u Apache je správa webů (alias správa virtuálních hostitelů) vcelku jednoduchá záležitost..
http://httpd.apache.org/docs/2.0/vhosts/examples.h tml
edit: pro IIS7 máš návod zde: http://technet.microsoft.com/en-us/library/cc77096 6%28WS.10%29.aspx
Přečti si to, zvol správného usera pro anonymní přístup.
už jsem to chtěl šoupnout na apache abych se s tím nes***l... díky za linky.. jdu pročítat..
ten user, by měl mít na co vše práva?
no pokud jde jen o web, který nevyužívá Win služeb a rozhraní, tak stačí buď ten defaultní, nebo libovolný lokální (bez admin práv). Ale co je důležité, ten vybraný účet musí mít právo na soubory webu (tedy do složky, kde jsou umístěny plus dědičnost směrem dolů - což je logické)
jsou to skripty jen mezi PHP a MySQL a max. práce se soubory