web-dev-qa-db-fra.com

Partage d'une adresse IP statique pour les services ftp et www

Essayez de comprendre comment mettre à jour l'enregistrement de zone et configurer le serveur Web de sorte qu'une application sur le serveur Web soit accessible au public. Je ne suis absolument pas doué pour NS/DNS/NAT/pare-feu/routage/redirection de port/réseau, etc.

"faraday" est le nom de l'intranet. Tout le monde au sein du réseau local peut accéder à toutes les applications hébergées sur "faraday". Le nom d'hôte du serveur Web est "www", le serveur FTP est "ftpserver". Les deux serveurs exécutant RHEL4 OS.

L'objectif est de permettre à quiconque en dehors du réseau de l'entreprise (public) d'accéder à l'une des nombreuses applications de "faraday". J'espère que quelqu'un pourra m'aider avec certaines des questions ci-dessous, si ce n'est toutes.

  • À partir de l'enregistrement de zoneedit, l'adresse IP statique est maintenant utilisée par FTP.
  • Puis-je utiliser la même adresse IP statique existante - 219.95.10.100, pour le service Web?
  • Actuellement, toute personne qui entre "http://www.abc.com.my" sera dirigée vers "http://www.abc.com". Je ne veux pas que cela change.
  • Actuellement, personne d'autre, à l'exception des employés du réseau local, ne peut accéder aux pages Web "faraday".
  • Comment configurer de sorte que lorsque quelqu'un tape "http://thisapp.abc.com.my" dans son navigateur Web, l'URL le mènera à "http: // faraday/thisapp" (le dossier de l'application est/var/www/html/thisapp sur le serveur Web RHEL4).
  • Si possible, comment définir l'URL continuera d'afficher "http://thisapp.abc.com.my" au lieu de "http: // faraday/thisapp"
  • Comment limiter/restreindre les utilisateurs (ceux qui ne sont pas du réseau local) afin qu'ils n'aient accès qu'à "http://thisapp.abc.com.my", mais pas à "http: // faraday" ou "http: // faraday/anotherapp ", etc.
  • Quelles sont les modifications de configuration nécessaires dans /etc/httpd.conf sur le serveur Web?

Le nom de domaine de l'entreprise est "abc.com.my". Vous trouverez ci-dessous les enregistrements de zone sur www.zoneedit.com.

Subdomain   Type    IP
sdsl        A       219.95.10.100
ftp         CNAME   sdsl.abc.com.my
@           NS      ns3.zoneedit.com
@           NS      ns7.zoneedit.com

Enregistrement WebForward:

New Domain        Destination           Cloaked
www.abc.com.my    http://www.abc.com    N

Sur mon serveur DNS local, il y a 2 fichiers de zone: abc.com.my et pnmy.abc.com.

> cat abc.com.my.zone
ftp     CNAME   ftp.pnmy.abc.com.
sdsl    A       219.95.10.100

> cat pnmy.abc.com.zone
ftp         CNAME   ftpserver
ftpserver   A       172.16.5.1
faraday     CNAME   www
www         A       172.16.5.2
1
user11496

Pour répondre à certaines de vos questions ci-dessous

  • Oui, vous pouvez utiliser la même adresse IP pour les services FTP et WWW, votre serveur Web et votre serveur FTP fonctionnant sur deux ports différents. Vous devez simplement autoriser l'accès à ces ports sur votre serveur.
  • Comment les visiteurs sont-ils redirigés? J'utiliserais soit DNS ou .htaccess pour rediriger
  • Utilisez .htaccess pour limiter l’accès à votre réseau local par adresse IP ou nom de domaine.
  • Utilisez .htaccess pour rediriger

La plupart des restrictions peuvent être configurées avec .htaccess et ou avec vos iptables

1
Anagio

iptables est une couche de sécurité utile; en plus d'ouvrir les ports pour les services hors réseau local, il offre également une granularité incroyable jusqu'à des protocoles spécifiques, voir l'option --multiports. Vous pouvez déposer des paquets d'adresses IP n'appartenant pas à un sous-réseau de votre réseau local qui demandent des ports ou des protocoles spécifiques, c'est très pratique.

Vous pouvez également configurer Apache pour ignorer de la même manière les invités indésirables via son module Contrôle d'accès . NB: les déclarations de format "order deny, accept" sont (inquiétantes!) maintenant officiellement obsolètes et Apache vous conseille de ne pas les utiliser. On dirait qu'avec la version 2.5, ils ont introduit une nouvelle syntaxe Require dont j'ai besoin pour bien me comprendre, car j'utilise beaucoup le contrôle d'accès.

La chose utile à propos du contrôle d’accès est que vous pouvez utiliser CIDR pour définir des plages autorisées/refusées, de sorte que vous pouvez simplement refuser à tout le monde, sauf le 192.168.1.0/24, l’accès au serveur Web. :-) Et si vous voulez avoir envie, vous pouvez ensuite le rediriger vers une autre page Web (extranet ou page Web publique?) Si un utilisateur refusé accède au serveur intranet.

0
Chris Woods