Yaazard
написал 4 июля 2008 года в 12:36 (949 просмотров)
Ведет себя
неопределенно; открыл 4 темы в форуме, оставил 51 комментарий на сайте.
Здравствуйте.
Суть проблемы.
Есть Debian на котором стоит Апач и крутиться сайт.
И есть Винда 2003 на которой стоит корпаративная почта.
И вот захотело начальство дать доступ из инета к вэб 2003 винды, дабы филиалы могли лазить на него и почту друг другу слать.
И сделали админы быстро и на скорую руку настройку в iptables
iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp --dport 443 -j DNAT --to-destination $LAN_MAIL_SERVER:443
и все жили долго и счастливо, до тех пор пока не решили сделать по нормальному.
так вот фишка в том что хотелось бы настроить подругому…
чтобы висело всетаки на 80 порту… но не конфликтовало с существующим сайтом.
есть предложения? =)
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Есть мнение, что давать доступ к почте через web иначе как по защищённому каналу (я бы ещё дополнил это обязательной проверкой клиентского сертификата) не есть правильно.
ну тут можно согласиться, щас даже поспорили на эту тему =)) решили оставить на 443… но теперь интересно другое))
Если придется повесить что то на лине тоже на 443, как быть в таком случае?? Кидать винду на другой порт? или есть какие нибудь хитрости?
Относительно строгой проверки клиентских сертификатов и отзыва сертификатов провинившихся? :)
Насколько я помню, для случая одной машины (Apache), как минимум до недавних пор действовало правило: не более одного SSL-хоста на порт.
Для просто HTTP насколько мне известно в рамках одной машины Индеец должен уметь разруливать. Как оно разруливается для случая нескольких физических машин (да с разными ОС и [предположительно] разными web-серверами) — не представляю.
кстати а mod_proxy в Apache в данной ситуации не прокатит?
Просто не желательно лишний раз копаться в сей штуке=) так как бошку открутят за простой.
С mod_proxy делов не имел.
Какой «этой»? Вынь2003 с почтой?
За излишний интерес к совершенно посторонним от текущих задач вещам тож по головке не погладят (а мне тут ещё самому большому боссу открывать ногой дверь в кабинет и требовать премии в размере стоимости добровольных «лицензионных» отчислений за спам-фильтр).
=) ну можт и не погладят, но я просто не получаю морального удовлетварения от того что на почту заходят не по доменному имени mail.site.ru а чисто по IP или site.ru:433, если делать то красиво и эффектно, да и так что б через какое время забыть как делал и самому офигевать как это работает=)
А что тебе запрещает прописать в [предположительно] внешний DNS IP-адрес почтового сервера и настроить маршрутизацию?
Заходят как/откуда? Протокол/порт (если порт не стандартный) в ссылке (или закладке) указать надо.
я ж говарил =) 1 домен, и 1 IP реальный…
поэтому ДНС тут не настроеш… а у нас начальник ИТ вообще не любит… за каждую заморочку типа сервачок или софтинку новую которая даж сопли стоит нужно написать трактат о ее нужности и невозможности без нее обойтись…=(
а во вторых он уже блин видел что так тоже работает=)) блин))
поэтому вот теперь и думаю как сделать так чтоб хорошо было… а не ломать голову если вдруг еще один сайт возникнет. Или придется писать трактат о том что нужно еще 1 IP
Я не телепат.
С учётом числа адресов есть мнение, что DNS держит провайдер.
Спам он тоже любит?
И проверки на лицензионность ПО?..
Как «так»?
Для случая одного IP-адреса?
В IPTABLES — перенаправление, как написано у тебя.
И не забудь про сертификаты!
После чего надо прописать в DNS mail.site.ru Alias’ом на site.ru.
Всё.