nixp.ru v3.0

17 октября 2017,
вторник,
02:58:42 MSK

DevOps с компанией «Флант»
Yaazard написал 4 июля 2008 года в 12:36 (440 просмотров) Ведет себя неопределенно; открыл 4 темы в форуме, оставил 51 комментарий на сайте.

Здравствуйте.

Суть проблемы.

Есть Debian на котором стоит Апач и крутиться сайт.

И есть Винда 2003 на которой стоит корпаративная почта.

И вот захотело начальство дать доступ из инета к вэб 2003 винды, дабы филиалы могли лазить на него и почту друг другу слать.

И сделали админы быстро и на скорую руку настройку в iptables

iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp --dport 443 -j DNAT --to-destination $LAN_MAIL_SERVER:443

и все жили долго и счастливо, до тех пор пока не решили сделать по нормальному.

так вот фишка в том что хотелось бы настроить подругому…

чтобы висело всетаки на 80 порту… но не конфликтовало с существующим сайтом.

есть предложения? =)

Anarchist
Yaazard
чтобы висело всетаки на 80 порту… но не конфликтовало с существующим сайтом.

Есть мнение, что давать доступ к почте через web иначе как по защищённому каналу (я бы ещё дополнил это обязательной проверкой клиентского сертификата) не есть правильно.

Yaazard

ну тут можно согласиться, щас даже поспорили на эту тему =)) решили оставить на 443… но теперь интересно другое))

Если придется повесить что то на лине тоже на 443, как быть в таком случае?? Кидать винду на другой порт? или есть какие нибудь хитрости?

Anarchist
Yaazard
ну тут можно согласиться

Относительно строгой проверки клиентских сертификатов и отзыва сертификатов провинившихся? :)

Yaazard
Если придется повесить что то на лине тоже на 443, как быть в таком случае?? Кидать винду на другой порт? или есть какие нибудь хитрости?

Насколько я помню, для случая одной машины (Apache), как минимум до недавних пор действовало правило: не более одного SSL-хоста на порт.

Для просто HTTP насколько мне известно в рамках одной машины Индеец должен уметь разруливать. Как оно разруливается для случая нескольких физических машин (да с разными ОС и [предположительно] разными web-серверами) — не представляю.

Yaazard

кстати а mod_proxy в Apache в данной ситуации не прокатит?

Просто не желательно лишний раз копаться в сей штуке=) так как бошку открутят за простой.

Anarchist
Yaazard
кстати а mod_proxy в Apache в данной ситуации не прокатит?

С mod_proxy делов не имел.

Yaazard
Просто не желательно лишний раз копаться в сей штуке=) так как бошку открутят за простой.

Какой «этой»? Вынь2003 с почтой?

За излишний интерес к совершенно посторонним от текущих задач вещам тож по головке не погладят (а мне тут ещё самому большому боссу открывать ногой дверь в кабинет и требовать премии в размере стоимости добровольных «лицензионных» отчислений за спам-фильтр).

Yaazard

=) ну можт и не погладят, но я просто не получаю морального удовлетварения от того что на почту заходят не по доменному имени mail.site.ru а чисто по IP или site.ru:433, если делать то красиво и эффектно, да и так что б через какое время забыть как делал и самому офигевать как это работает=)

Anarchist
Yaazard
=) ну можт и не погладят, но я просто не получаю морального удовлетварения от того что на почту заходят не по доменному имени mail.site.ru а чисто по IP или site.ru:433, если делать то красиво и эффектно=)

А что тебе запрещает прописать в [предположительно] внешний DNS IP-адрес почтового сервера и настроить маршрутизацию?

Заходят как/откуда? Протокол/порт (если порт не стандартный) в ссылке (или закладке) указать надо.

Yaazard

я ж говарил =) 1 домен, и 1 IP реальный…

поэтому ДНС тут не настроеш… а у нас начальник ИТ вообще не любит… за каждую заморочку типа сервачок или софтинку новую которая даж сопли стоит нужно написать трактат о ее нужности и невозможности без нее обойтись…=(

а во вторых он уже блин видел что так тоже работает=)) блин))

поэтому вот теперь и думаю как сделать так чтоб хорошо было… а не ломать голову если вдруг еще один сайт возникнет. Или придется писать трактат о том что нужно еще 1 IP

Anarchist
Yaazard
я ж говарил =) 1 домен, и 1 IP реальный…

Я не телепат.

Yaazard
поэтому ДНС тут не настроеш…

С учётом числа адресов есть мнение, что DNS держит провайдер.

Yaazard
а у нас начальник ИТ вообще не любит… за каждую заморочку типа сервачок или софтинку новую которая даж сопли стоит нужно написать трактат о ее нужности и невозможности без нее обойтись…=(

Спам он тоже любит?

И проверки на лицензионность ПО?..

Yaazard
а во вторых он уже блин видел что так тоже работает=)) блин))

Как «так»?

Для случая одного IP-адреса?

Yaazard
поэтому вот теперь и думаю как сделать так чтоб хорошо было… а не ломать голову если вдруг еще один сайт возникнет. Или придется писать трактат о том что нужно еще 1 IP

В IPTABLES — перенаправление, как написано у тебя.

И не забудь про сертификаты!

После чего надо прописать в DNS mail.site.ru Alias’ом на site.ru.

Всё.