English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix dùng firewall iptables  XML
  [Question]   dùng firewall iptables 03/11/2008 11:51:36 (+0700) | #1 | 157432
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
xin giúp mình mô hình này với, mình thuê tên miền cuibap.com với đại chỉ 192.168.100.10, khi đó mình dựng 1 máy làm firewall với iptables có 2 card mạng: external va internal(10.0.0.1)
- 1server web bên trong 10.0.0.2 :80
- 1 mail server bên trong 10.0.0.3 :80
khi em dùng firewall nat 1 web thì được còn mail thì không biết cách làm cho chạy cùng port 80, xin chỉ giúp thanks
[Up] [Print Copy]
  [Question]   dùng firewall iptables 03/11/2008 13:07:10 (+0700) | #2 | 157438
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

cuibapqua wrote:
xin giúp mình mô hình này với, mình thuê tên miền cuibap.com với đại chỉ 192.168.100.10,
 

Là sao?

cuibapqua wrote:

khi đó mình dựng 1 máy làm firewall với iptables có 2 card mạng: external va internal(10.0.0.1)
- 1server web bên trong 10.0.0.2 :80
- 1 mail server bên trong 10.0.0.3 :80
khi em dùng firewall nat 1 web thì được còn mail thì không biết cách làm cho chạy cùng port 80, xin chỉ giúp thanks 

Tại sao bạn lại muốn mail server "chạy cùng port 80"?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 03/11/2008 13:25:16 (+0700) | #3 | 157439
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
mình giả lập là mình thuê tên miền với ip tỉnh như vậy, với alias
www.cuibap.vn và mail.cuibap.vn đều chạy trên port 80
mình chỉ có thể làm www.cuibap.vn nhưng không thể làm chạy mail và www cùng được
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 03/11/2008 17:45:52 (+0700) | #4 | 157456
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

cuibapqua wrote:
mình giả lập là mình thuê tên miền với ip tỉnh như vậy, với alias
www.cuibap.vn và mail.cuibap.vn đều chạy trên port 80
mình chỉ có thể làm www.cuibap.vn nhưng không thể làm chạy mail và www cùng được
 


Cái này có liên quan gì đến iptables ở đây? Làm sao có chuyện 2 dịch vụ cùng chạy trên một cổng dịch vụ được?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   dùng firewall iptables 03/11/2008 22:59:37 (+0700) | #5 | 157478
[Avatar]
 tranhuuphuoc
Moderator
Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

cuibapqua wrote:
xin giúp mình mô hình này với, mình thuê tên miền cuibap.com với đại chỉ 192.168.100.10, khi đó mình dựng 1 máy làm firewall với iptables có 2 card mạng: external va internal(10.0.0.1)
- 1server web bên trong 10.0.0.2 :80
- 1 mail server bên trong 10.0.0.3 :80
khi em dùng firewall nat 1 web thì được còn mail thì không biết cách làm cho chạy cùng port 80, xin chỉ giúp thanks 


Theo tôi nghĩ người này muốn dùng 1 trình web application nào đó chẳng hạn như Squirel mail để quản lý mail cho thuận tiện chứ không phài dùng mailserver và webserver "listenning" trên cổng 80-có thể người đặt câu hỏi nhầm lẫn chăng !?

Nếu dùng iptables thì bạn có 2 lựa chọn
Nếu bạn muốn NAT từ ngoài vào bên trong mạng nội bộ thì loại "chain" Prerouting
Nếu bạn muốn NAT từ trong mạng nội bộ ra bên ngoài thì dùng laọi "chain" Postrouting

Mô tả cho 2 kỹ thuật này vui lòng đọc http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 01:24:10 (+0700) | #6 | 157496
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
ý em là làm sau ở bên ngoài người ta gõ vào www.cuibap.vn thì qua firewall trỏ vào 10.0.0.2 và khi truy cập vào mail.cuibap.vn thì trỏ vào 10.0.0.3, vậy cách này thì em phải làm sau
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 01:38:30 (+0700) | #7 | 157498
[Avatar]
 rickb
Reseacher
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

cuibapqua wrote:
ý em là làm sau ở bên ngoài người ta gõ vào www.cuibap.vn thì qua firewall trỏ vào 10.0.0.2 và khi truy cập vào mail.cuibap.vn thì trỏ vào 10.0.0.3, vậy cách này thì em phải làm sau 


Vậy thì bạn chỉ cần dùng Netfilter/Iptables để NAT cho web --> 10.0.0.2 :80 và cho mail --> 10.0.0.3 :25 thôi.

khi đó user dùng browser truy cập đến cuibap.com thì traffic sẽ foward ra 10.0.02 port 80, còn nếu user dùng Outlook, Thunderbird ... để get/send mail thì traffic sẽ foward ra 10.0.03 port 25 sẽ chứ thôi. Sao lại có vụ " không biết cách làm cho chạy cùng port 80" nữa smilie
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 02:36:03 (+0700) | #8 | 157504
[Avatar]
 MrMe
Elite Member
[Minus]    0    [Plus]
Joined: 08/07/2006 13:01:01
Messages: 150
Offline
[Profile] [PM]
Dịch vụ cổng 80 trỏ sang web sever 10.0.0.2
Các dịch vụ smtp, pop, imap thì trỏ sang server mail 10.0.0.3

Với cái web mail.cuibap.com thì bạn có thể tạo virtual host trên 10.0.0.2 rồi dùng proxy của apache forward trafic sang bên con 10.0.0.3
Hoặc cấu hình web mail ngay trên web server 10.0.0.2 không dùng proxy cũng van ok mà.
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 02:49:25 (+0700) | #9 | 157505
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
em làm chạy trên mail port 25 và 110 rồi, nhưng cón trên port 80 thì không thể nào
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 03:05:58 (+0700) | #10 | 157506
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

cuibapqua wrote:

...
khi em dùng firewall nat 1 web thì được còn mail thì không biết cách làm cho chạy cùng port 80, xin chỉ giúp thanks 

cuibapqua wrote:

...
mình chỉ có thể làm www.cuibap.vn nhưng không thể làm chạy mail và www cùng được
 

cuibapqua wrote:
em làm chạy trên mail port 25 và 110 rồi, nhưng cón trên port 80 thì không thể nào 

Đọc kỹ lại cái http://forum.vnoss.org/pub/smart-questions-vi.html xem khả năng trình bày vấn đề có khá hơn không?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 04:25:18 (+0700) | #11 | 157519
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
em không biết mới hòi mà, em triển khai hệ thống webmail mà
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 04:47:54 (+0700) | #12 | 157521
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

cuibapqua wrote:
em không biết mới hòi mà, em triển khai hệ thống webmail mà 

Ừ, nhưng mà bạn hỏi lủng củng quá, làm người đọc toàn phải đoán ý của bạn xem bạn muốn hỏi gì. Hơn nữa, nội dung bạn đưa lên chưa có thông tin nào để có thể giúp được cả:
- mail server chạy cái gì?
- webmail chạy cái gì?
- nội dung các files cấu hình ra làm sao?
- Dựa vào những gợi ý của các bạn ở trên, bạn đã làm những gì và kết quả ra sao?
- ...

Tóm lại, bạn cứ thử đọc lại "smart questions" xem có thu được điều gì thêm không.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 11:50:47 (+0700) | #13 | 157565
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]

cuibapqua wrote:
em không biết mới hòi mà, em triển khai hệ thống webmail mà 

Thử đoán lần cuối, có phải ý bạn muốn là khi user gõ http://www.cuibap.com --> trỏ sang web, còn gõ http://webmail.cuibap.com --> webmail ? Nếu đúng vậy thì đọc http://www.vnlinux.org/sitemoi/?q=node/117.

PS: À bạn hoàn toàn có thể dùng http://www.cuibap.com/webmail
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 14:24:43 (+0700) | #14 | 157581
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
trước hết em xin cảm ơn, vấn đề của em là thế này máy dùng:
- Firewall em cài iptables
- Web (www.cuibap.com 10.0.0.2) em cài iis chạy source web nào đó
- Mail (mail.cuibap.com 10.0.0.3) em cài openweb hay squirre gì đó
khi người dùng bên ngoài truy cập vào:
- www.cuibap.com thì lấy source web của máy 10.0.0.2 hiện ra
- mail.cuibap.com thì lấy openweb hay squirre của máy 10.0.0.3 hiện ra
vậy với mô hình này thì em triển khai sau, mong được sự giúp đở
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 21:43:12 (+0700) | #15 | 157587
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

cuibapqua wrote:
trước hết em xin cảm ơn, vấn đề của em là thế này máy dùng:
- Firewall em cài iptables
- Web www.cuibap.com 10.0.0.2) em cài iis chạy source web nào đó
- Mail (mail.cuibap.com 10.0.0.3) em cài openweb hay squirre gì đó
khi người dùng bên ngoài truy cập vào:
- www.cuibap.com thì lấy source web của máy 10.0.0.2 hiện ra
- mail.cuibap.com thì lấy openweb hay squirre của máy 10.0.0.3 hiện ra
vậy với mô hình này thì em triển khai sau, mong được sự giúp đở
 


Vậy thì em phải có 2 public IP addresses:

1) Public IP cho www.cuibap.com
2) Public IP cho mail.cuibap.com

Và trên Linux server chạy iptables, em phải reverse NAT 2 public IP trên cho 10.0.0.2 và 10.0.0.3 theo thứ tự.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 04/11/2008 21:46:51 (+0700) | #16 | 157589
[Avatar]
 tranhuuphuoc
Moderator
Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

cuibapqua wrote:
trước hết em xin cảm ơn, vấn đề của em là thế này máy dùng:
- Firewall em cài iptables
- Web www.cuibap.com 10.0.0.2) em cài iis chạy source web nào đó
- Mail (mail.cuibap.com 10.0.0.3) em cài openweb hay squirre gì đó
khi người dùng bên ngoài truy cập vào:
- www.cuibap.com thì lấy source web của máy 10.0.0.2 hiện ra
- mail.cuibap.com thì lấy openweb hay squirre của máy 10.0.0.3 hiện ra
vậy với mô hình này thì em triển khai sau, mong được sự giúp đở
 


- iptables , rules NAT từ mạng nội bộ ra ngoài và từ bên ngoài vào trong mạng nội bộ .
- Khai báo DNS server , tạo A, MX record cho các thứ còn lại smilie

Good luck
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 05/11/2008 04:58:13 (+0700) | #17 | 157674
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]
em đã làm nat từ trong ra ngoài và từ ngoài vào trong hết nhưng khổ nỗi là khi em gõ vào mail.cuibap.com thì nó nhảy ra nội dung của trang web, dns thì em thuê, khai báo alias và mx trên nhà cung cấp
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 05/11/2008 07:32:37 (+0700) | #18 | 157696
mR.Bi
Member
[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Bạn nói lại một lần cho rõ ràng mô hình của mình, bạn có bao nhiêu public IP? các file cấu hình và rules iptables của bạn ra sao, đem hết lên đây đi, chứ đẽo cày giữa đường thế này hồi tan nát hết mấy thứ mà bạn đã làm mất smilie
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 20/11/2008 14:05:13 (+0700) | #19 | 159567
[Avatar]
 tiger2wander
Member
[Minus]    0    [Plus]
Joined: 21/05/2007 21:24:54
Messages: 7
Offline
[Profile] [PM]
Có thể bạn cần add thêm sub-domain cho cái domain mail.cuibap.com và config cho nó trỏ đến ip chạy dịch vụ mail của bạn là ok.

Good Luck.
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 20/11/2008 21:11:52 (+0700) | #20 | 159578
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tiger2wander wrote:
Có thể bạn cần add thêm sub-domain cho cái domain mail.cuibap.com và config cho nó trỏ đến ip chạy dịch vụ mail của bạn là ok.

Good Luck. 


Đọc cho kỹ các thảo luận trước khi tham gia. Tránh "phán" một câu không có giá trị gì cả.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 20/11/2008 23:47:25 (+0700) | #21 | 159598
[Avatar]
 tiger2wander
Member
[Minus]    0    [Plus]
Joined: 21/05/2007 21:24:54
Messages: 7
Offline
[Profile] [PM]

cuibapqua wrote:
em đã làm nat từ trong ra ngoài và từ ngoài vào trong hết nhưng khổ nỗi là khi em gõ vào mail.cuibap.com thì nó nhảy ra nội dung của trang web, dns thì em thuê, khai báo alias và mx trên nhà cung cấp 

Bạn cần nói rõ là khi vào trang mail.cuibap.com thì nó ra nội dung của trang web nào? trang web giống với trang ở địa chỉ cuibap.com hay là một trang khác. Các nhà cung cấp thường để config default là tất cả các sub-domain chưa config hoặc chưa đăng ký sẽ được wwwect tới domain chính hoặc có nội dung thông báo của nhà cung cấp, ví dụ: mail.cuibap sẽ tự động được wwwect đến cuibap.com. Trường hợp này có thể do: Config sai public ip dùng cho domain/Hoặc chưa config.

conmale wrote:
Đọc cho kỹ các thảo luận trước khi tham gia. Tránh "phán" một câu không có giá trị gì cả. 

`"Phán" 1 câu không có giá trị` nghĩa là như thế nào? Ở đây tớ dùng từ "có thể" để nhắc bạn cuibapqua có thể đã quên hay làm thiếu 1 bước nào khi config domain. Chúng ta ở đây để thảo luận/giúp đỡ để tháo gỡ những vướng mắc tất nhiên là sẽ có những ý kiến đúng/sai và mọi người có thể kiểm chứng được nó "có giá trị hay không". Một hạt cát có thể làm 1 con tàu vũ trụ nổ tung, 1 lỗi nhỏ có thể làm cho hệ thống không hoạt động! smilie
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 20/11/2008 23:55:47 (+0700) | #22 | 159600
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tiger2wander wrote:


conmale wrote:
Đọc cho kỹ các thảo luận trước khi tham gia. Tránh "phán" một câu không có giá trị gì cả. 

`"Phán" 1 câu không có giá trị` nghĩa là như thế nào? Ở đây tớ dùng từ "có thể" để nhắc bạn cuibapqua có thể đã quên hay làm thiếu 1 bước nào khi config domain. Chúng ta ở đây để thảo luận/giúp đỡ để tháo gỡ những vướng mắc tất nhiên là sẽ có những ý kiến đúng/sai và mọi người có thể kiểm chứng được nó "có giá trị hay không". Một hạt cát có thể làm 1 con tàu vũ trụ nổ tung, 1 lỗi nhỏ có thể làm cho hệ thống không hoạt động! smilie 


.... và một chỉ dẫn không giúp giải quyết cái gì cả (vì lạc đề) thì phí thời gian.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 21/11/2008 00:01:02 (+0700) | #23 | 159603
[Avatar]
 tiger2wander
Member
[Minus]    0    [Plus]
Joined: 21/05/2007 21:24:54
Messages: 7
Offline
[Profile] [PM]

comale wrote:
.... và một chỉ dẫn không giúp giải quyết cái gì cả (vì lạc đề) thì phí thời gian. 


>>> May be... smilie
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 21/11/2008 13:39:37 (+0700) | #24 | 159724
[Avatar]
 MrMe
Elite Member
[Minus]    0    [Plus]
Joined: 08/07/2006 13:01:01
Messages: 150
Offline
[Profile] [PM]
Tớ nghĩ là thế này không biết có đúng ko nhỉ


[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 24/11/2008 12:37:20 (+0700) | #25 | 160028
cuibapqua
Member
[Minus]    0    [Plus]
Joined: 01/11/2008 18:03:12
Messages: 19
Offline
[Profile] [PM]

MrMe wrote:
Tớ nghĩ là thế này không biết có đúng ko nhỉ


 

mô hình của em đúng như anh vẽ vậy đó, vậy anh có thể giúp em không, thanks nhiều lắm
[Up] [Print Copy]
  [Question]   Re: dùng firewall iptables 24/11/2008 13:54:48 (+0700) | #26 | 160035
[Avatar]
 BachDuongTM
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
[Profile] [PM] [Email]
Vẫn là câu nói quen thuộc nhưng cần nhắc thêm lần nữa : bạn cần hiểu rõ điều mình đang làm, thấy bạn đặt câu hỏi lủng củng quá.
Về mình có một vài trợ giúp hy vọng có ích với bạn.

1. Yêu cầu công việc của bạn yêu cầu phải sử dụng NAT, và bạn chỉ có 1 public IP mà thôi.
2. Bạn có 2 local server là web và mail , tương với khi public ra internet 2 dịch vụ đó là web.com và mail.com.

- Về mô hình, vì bạn có 1 public IP và chỉ muốn hoạt động trên 1 cổng dịch vụ là 80, nên NAT chỉ cho phép bạn hoạt động với 1 local server <==> Internet. Tương ứng với việc khi truy cập từ internet thì yêu cầu đó sẽ được chuyển tiếp đến 1 local server duy nhất mà thôi.

Và vấn để ở đây là dù web hay mail local server thì vẫn phải chấp nhận 1 server sẽ đứng ra nhận request và chuyển tiếp đến server tương ứng.Hoặc bạn làm theo hướng dẫn ở trên hoặc mình có một số gợi ý :

1. 1 server nhận tất cả request, sau đó sẽ lọc request đó tự chuyển tiếp và sử lý đến chính nó <nếu nó là nó> hoặc chuyển tiếp đến server còn lại nếu không đúng.

2. 1 server sẽ nhận 2 loại request và sử lý cả 2, không nhất thiết phải đặt mail <webmail > trên đúng mail server , có thể cài webmail trên server web được.

3. Nếu public server sử dụng IPtables, không có lý do gì bạn không cài được một proxy ở đây, apache là một ví đu. Proxy sẽ nhận request và trực tiếp phân phối lại cho localserver.

4. Sao không thêm 1 public IP nữa và thực hiện Nat 1:1

5.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|