re-routing selon le nom de domaine

  • Commercial
  • Microsoft Outlook
Eric Maziade <maze(à)novisoft.com>
2007-09-06 17:17:49 EDT
 
Salut les linuxois.



Peut-être que vos connaissances pourront m'aider, car là, je ne sais plus où
regarder.



Voici ce que je veux faire :

- Recevoir des requests de plusieurs noms de domaine par un seul IP (en
provenance de WAN) et que ses requests soient dispatchés à la bonne machine
sur mon LAN.



En gros, j'ai un nom de domaine et un site Web sur un serveur existant,
externe à mon Wan.



Mon DNS est configuré pour renvoyer divers sous-domaines à une machine dur
le DMZ de mon LAN.



Jusque là, tout va bien. Ma machine DMZ (appelons-là « lansvr ») répond aux
requêtes. Chouette.



Mais je veux dispatcher, disons « machine1.mondomaine.com » à une autre
machine de mon LAN.



Mon premier réflexe était d'installer un DNS sur « lansvr » en me disant que
je pouvais bien dispatcher à la machine que je veux à partir de là.



Semblerait que c'est pas aussi simple.



Je croyais pouvoir configurer « bind » pour prendre les noms de domaines et
les renvoyer vers les IP que je veux... mais on dirait que ça ne se peut pas.



Ma surprise était de me rendre compte que « bind » local va dispatcher à mon
« vrai DNS » et qu'il fera un query sur ses zones seulement s'il trouve pas
ailleurs... et il trouvera ailleurs, parce que c'est pas lui le DNS principal
du nom de domaine.



Et j'en viens à me demander si un DNS est vraiment ce que je cherche ici.
Ou si ma config de DNS principal fait ça comme il le faut pour ce genre de
truc :

devlocal IN A 70.82.48.155

local IN A 70.82.48.155



Toute piste sera appréciée :-)


--
Eric Maziade
Novisoft
Lien permanent
 

Re: re-routing selon le nom de domaine

  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2007-09-07 09:32:18 EDT
 

> - Recevoir des requests de plusieurs noms de domaine par un seul IP
> (en provenance de WAN) et que ses requests soient dispatchés à la
> bonne machine sur mon LAN.


Le client qui place une requête vers ton parc informatique va chercher à
se connecter à une adresse IP et non à un nom de domaine. Il va
résoudre l'adresse une fois et ensuite n'utiliser que l'adresse IP. Le
paquet TCP qui va arriver à ton réseau ne contient donc aucune
information pouvant te dire « j'ai demandé la machine unetelle ».

Je vois donc deux possibilités :

- Port forwarding. Établir des ports différents sur ta machine DMZ
qui sont liés à tes machines internes (par exemple, port 8022
pointe vers le port 22 de la machine m1, port 8122 pointe vers le
port 22 de la machine m2, ...)

- S'il s'agit de web, tu peux t'en sauver car le protocole HTTP
utilise l'entête « Host » qui elle contient le nom de domaine.
Dans ce cas, tu devras installer un reverse proxy (typiquement
apache) sur ton DMZ qui va décoder cette entrée et rediriger la
requête au bon endroit. La section « mapping Virtual Servers »
http://www.linuxfocus.org/English/March2000/article147.shtml te
donne un exemple typique.

Dans les deux cas, tous tes noms de domaine pointent vers l'adresse IP
de ta machine DMZ.

Ai-je répondu à la question?




--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 

RE: re-routing selon le nom de domaine

  • Commercial
  • Microsoft Outlook
Eric Maziade <maze(à)novisoft.com>
2007-09-07 10:59:25 EDT
 
Ouaip, pas mal bien répondu :)

Reste à savoir quelle application je peux utiliser pour faire du port
forwarding... et sur quel serveur...

Mon idée originale était de mapper des sous-domaines aux diverses machines
de mon LAN en utilisant le DNS de mon serveur Web public - qui n'est pas sur
mon LAN. Le nom de domaine princial est hosté sur le serveur Web public.

De ce que je comprend, je peux pas vraiment faire ça - si je veux faire du
port forwarding, il faudrait que ça se fasse sur mon serveur public qui,
lui, n'a pas accès au LAN.

Il faudrait donc que j'aille un nom de domaine et un DNS juste pour mon LAN.
(Right?)

Et une application qui fait le port fowarding. J'imagine iptables ou un
truc du genre?


--
Eric Maziade
Novisoft
http://www.Secure-eBook.com
http://www.novisoft.com
Lien permanent
 

Re: re-routing selon le nom de domaine

  • Canada
  • Mozilla Thunderbird
Stefan Michalowski <mitch(à)ptaff.ca>
2007-09-07 11:12:37 EDT
 
Eric Maziade wrote:

> Et une application qui fait le port fowarding. J'imagine iptables ou un
> truc du genre?


iptables fait ça.
http://www.hackorama.com/network/portfwd.shtml
*http://tldp.org/HOWTO/IP-Masquerade-HOWTO/forwarders.html

*Attention par contre, il existe certaines applications qui n'aiment pas
trop les trucs de forwarding (FTP par exemple). De plus, il y a certains
envrionnements (réseau de compagnie) qui ne permettent pas d'accèder de
ports autre que les stds (80, 443, 21). C'est le cas de ma job, je ne
peux pas accèder n'importe quel port d'un site (genre 8083).

ciao,


--
+-------------------------------------------------------+
| |
| Stefan Michalowski, M. Sc. |
| ------------------ |
| Email: illmnec(à)sympatico.ca |
| GPG Key: http://screamerone.zapto.org/k.asc |
| ---------------------------------- |
| "Provider of Open Paradigm Shifts" |
| |
+-------------------------------------------------------+
Lien permanent
Pièces jointes
 
RE: re-routing selon le nom de domaine
  • Commercial
  • Microsoft Outlook
Eric Maziade <maze(à)novisoft.com>
2007-09-07 11:21:30 EDT
 
En jasant avec Martin, on en arrive à la conclusion que c'est probablement
plus un VPN qu'il me faudrait pour faire ce que je veux.


--
Eric Maziade
Novisoft
http://www.Secure-eBook.com
http://www.novisoft.com
Lien permanent
 
Re: re-routing selon le nom de domaine
  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2007-09-07 11:33:22 EDT
 

> En jasant avec Martin, on en arrive à la conclusion que c'est probablement
> plus un VPN qu'il me faudrait pour faire ce que je veux.


Ah! J'avais inféré que les machines internes devaient pouvoir être
contactées par n'importe qui (je pensais à plusieurs serveurs web).
S'il s'agit d'un réseau privé, en effet, un VPN va répondre mieux à tes
besoins et tu voudras probablement un serveur DNS à l'intérieur de ton
réseau.




--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 
RE: re-routing selon le nom de domaine
  • Commercial
  • Microsoft Outlook
Eric Maziade <maze(à)novisoft.com>
2007-09-07 13:24:03 EDT
 
Ouain, j'aurais aimé que ça soit contacté par n'importe qui... mais sans
avoir plusieurs IP "publics", semblerait que ça soit pas possible.

L'idée aurait été, par exemple, de pouvoir faire du remote desktop en
utilisant un domain name différent pour chaque machine sur le lan (ex
machine-a-eric.novisoft.com et machine-a-alain.novisoft.com), sans avoir à
dealer avec un port différent par machine.

Ton explication de DNS et le rappel que le nom de domaine par appel était
relié au protocole http a bien expliqué que ce que je voulait ne fonctionne
malheureusement pas :(


--
Eric Maziade
Novisoft
http://www.Secure-eBook.com
http://www.novisoft.com
Lien permanent
 

Re: re-routing selon le nom de domaine

  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2007-09-07 11:28:13 EDT
 

> Reste à savoir quelle application je peux utiliser pour faire du port
> forwarding... et sur quel serveur...


iptables, sur le serveur qui est accessible par internet.



> Mon idée originale était de mapper des sous-domaines aux diverses machines
> de mon LAN en utilisant le DNS de mon serveur Web public - qui n'est pas sur
> mon LAN. Le nom de domaine princial est hosté sur le serveur Web public.
>
> De ce que je comprend, je peux pas vraiment faire ça - si je veux faire du
> port forwarding, il faudrait que ça se fasse sur mon serveur public qui,
> lui, n'a pas accès au LAN.


Pour obtenir du port forwarding, ça te prend une machine avec un IP
public-sur-internet et un IP privé-dans-ton-LAN (ou en tous cas un
chemin qui revient à cela). Imagine l'architecture typique d'une
famille lavalloise avec plusieurs ordinateurs branchés à internet
transitant tous par le même routeur linksys. Même patente.

Donc, d'après ce que je comprends, ton architecture ressemble à ceci,
peut-être me gourre-je?

[Machine DMZ] <--------> [Internet]
(IP: x.x.x.x)
(IP: 192.168.0.1)
^ ^ ^
I I I
I I +--------> [Machine 1 : 192.168.0.2]
I I
I +--------> [Machine 2 : 192.168.0.3]
I
+--------> [Machine 3 : 192.168.0.4]



> Il faudrait donc que j'aille un nom de domaine et un DNS juste pour
> mon LAN. (Right?)


DNS pour ton LAN, si tu veux qu'à l'interne tu puisses accéder tes
machines avec un nom et pas seulement par IP; un serveur DNS interne ne
servirait à rien d'autre. En soi pas une nécessité pour arriver à tes
fins, ton reverse proxy peut bien accéder aux ordinateurs de ton LAN via
des adresses IP.

Un « nom de domaine » pour ton LAN ne sert à rien car le client voit
toujours de l'extérieur ta machine DMZ; pour ce client, tout se trouve
là et ton LAN n'existe pas — comme pour la famille lavalloise de tantôt,
Bob et Julie sont branchés sur Internet sur des machines différentes,
mais vu de l'extérieur, ils utilisent la même adresse IP.




--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 
 

Propulsé par xhtmail