Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Překlad jednoho portu na více vnitřních IP

Jirka_h (5)|2.8.2009 06:58
Zdravim,

popis situace:
1. mam firewall Mikrotik na jedne verejne IP, za nim je nekolik serveru, na jednom z nich je IIS7, ktera posloucha na 443 SSL provoz s wildcard certfikatem na několika hostaname
2. nove jsem aktivoval SSL Exchange ActiveSync a protoze mi Exchange bezi na jinem serveru, tak jsem nastavil preklad na portu 444
3. na HTC (obecne Windows Mobile) nejde (i google to tvrdi) nastavit, aby se telefon pripojoval na jinem portu nez 443 nebo 80.
4. OWA pres webovy prohlizec na 444 mi funguje, dokonce i Exchange ActiveSync od DataViz na SE P1i to funguje .. ten si na rozdil od WM ExchangeActiveSync neodstreli z adresy :port

Tak co ted s tim? Nejsem sitar, takze me napadlo:
1. od ISP koupil dalsi verejnou IP a na tuto v DNS domeny nastavil exchange.firma.cz a podle pozadovane IP na Mikrotiku bych pak 443 posilal na jeden nebo druhy server.
2. na Mikrotiku nastavil preklad 80 (na web nepouzivame) na preklad do SSL na exchange server, ale tady bych se bal 2 veci (zda WM ExchangeActiveSync pochopi ze je to sifrovane spojeni - toto nemam vyzkousene) a take nechci aby kdyz nekdo omylem zada https://webova-aplikace.firma.cz jen http .. tak automaticky spadne na rozhrani exchange protoze na IIS6, kde bezi exchange nejde u SSL nastavil hostname ani kdyz je tam wildcard certifikat (toto mam bohuzel vyzkouseno)
3. moznost prekladat port podle pozadavaneho hostname asi neexistuje, nikde jsem toto nenasel, tak se ptam jestli je to mozne, napr. v tom mikrotiku nebo v Keriu.

Jen dodam, že ten exchange server je DC SBS 2003 takze bych do nej nerad neco cpal, třeba IIS7 nebo neco jineho ....

Jirka
MartyMcFly (222)|2.8.2009 13:41
Zdravím,
Jak to vidím já tak Váš první nápad pořízení další veřejné IP není až tak špatný, ale jak nad tím přemýšlím tak to bude funkční bez problémů. Při druhém vašem řešení mám takový pocit, že port 80 je vyhrazen pouze pro HTTP protokol a dle mě s ním není možné provádět jiné úkony než HTTP.

Howk.
wex (115)|2.8.2009 14:16
Něco na tento způsob řešili na tomto fóru.
Jinak co se týče těch portů, tak je teoreticky jedno, co běží na kterém portu. Klidně na té 80 může naslouchat ssh nebo něco jiného. Ale nedělá se to z důvodů dodržování norem a dostupnosti těch služeb, aby v tom nebyl guláš.
MartyMcFly (222)|2.8.2009 15:16
[quote=wex;277297]Něco na tento způsob řešili na tomto fóru.
Jinak co se týče těch portů, tak je teoreticky jedno, co běží na kterém portu. Klidně na té 80 může naslouchat ssh nebo něco jiného. Ale nedělá se to z důvodů dodržování norem a dostupnosti těch služeb, aby v tom nebyl guláš.[/quote]

Teoreticky ano, ale prakticky NIKOLIV. Proto byla definovaná "mapa portů" kde všechny služby (protokoly) mají definované porty tj. porty vyhrazené pro služby. Kdo to nedodržuje je dle mě IT "prasátko" a dělá si ve všem kurník.

Howk.
Jirka_h (5)|2.8.2009 15:50
[quote=wex;277297]Něco na tento způsob řešili na tomto fóru.[/quote]

Ano, to je přesně to co hledam ... http://wiki.mikrotik.com/wiki/Multiple_Web_Servers. Díky moc, jen bych se bál zpomalení přenosu zvenku, mohu to očekávat ... ?
wex (115)|2.8.2009 15:57
Popravdě řečeno, praktické zkušenosti s tím nemám. Pokud zde neodpoví někdo jiný, tak asi bude potřeba se zeptat na tom odkazovaném fóru.
Jirka_h (5)|2.8.2009 16:19
tak bohužel jsem si zde předtím nevšiml jedné malé, ale důležité věci ...

It works only for http connections not https connections, as transparent web proxy does not support https connections.