Discussion:
Grundsatzfrage zu weiterleitungen
(zu alt für eine Antwort)
Andreas Lehmler
2019-04-20 13:25:00 UTC
Permalink
Hallo zusammen,
es ist schon Jahrzente her, das ich einen Fli4l laufen hatte. Was ich
noch weiß war, das wenn eine Anfrage auf eine meiner DYNDNS Adressen
kam, die an den richtigen Server ( hab 5 verschiedene ) weitergeleitet
wurde. Alle anfragen kammen auf Port 80 und wurden dann automatisch an
den richtigen Server weitergeleitet.
Gibt es das heute auch noch ?
Mom regel ich das über die AVM-Router mit den entsprechenden Port
weiterleitungen.
Meine Vorstellung alle Port 80 Anfragen gehen zuerst zum Fli4l und der
leitet die an den Richtigen Server weiter.
Alle 443 Anfragen gehen zuerst an den Fli4l und der leitet die dann an
den entsprechenden Server weiter.

Gruß
Andreas
Marcus Roeckrath
2019-04-20 14:02:53 UTC
Permalink
Hallo Andreas,
Post by Andreas Lehmler
es ist schon Jahrzente her, das ich einen Fli4l laufen hatte. Was ich
noch weiß war, das wenn eine Anfrage auf eine meiner DYNDNS Adressen
kam, die an den richtigen Server ( hab 5 verschiedene ) weitergeleitet
wurde. Alle anfragen kammen auf Port 80 und wurden dann automatisch an
den richtigen Server weitergeleitet.
Gibt es das heute auch noch ?
Mom regel ich das über die AVM-Router mit den entsprechenden Port
weiterleitungen.
Meine Vorstellung alle Port 80 Anfragen gehen zuerst zum Fli4l und der
leitet die an den Richtigen Server weiter.
Alle 443 Anfragen gehen zuerst an den Fli4l und der leitet die dann an
den entsprechenden Server weiter.
Worum sollte das nicht weiterhin gehen.

Was mir allerdings nicht klar ist, wie du eingehende Port-80-Pakete an
verschiedene interne Server aufsplitten willst.
--
Gruss Marcus
Kay Martinen
2019-04-20 14:24:54 UTC
Permalink
Post by Marcus Roeckrath
Hallo Andreas,
Post by Andreas Lehmler
es ist schon Jahrzente her, das ich einen Fli4l laufen hatte. Was ich
noch weiß war, das wenn eine Anfrage auf eine meiner DYNDNS Adressen
kam, die an den richtigen Server ( hab 5 verschiedene ) weitergeleitet
wurde. Alle anfragen kammen auf Port 80 und wurden dann automatisch an
den richtigen Server weitergeleitet.
Sprichst du von einer festen zuordnung dynip-addrX = portX am router =
interner HostX u.s.w. wobei X die entsprechende dyndns Adresse (1-5) ist?
Post by Marcus Roeckrath
Post by Andreas Lehmler
Gibt es das heute auch noch ?
Mom regel ich das über die AVM-Router mit den entsprechenden Port
weiterleitungen.
Meine Vorstellung alle Port 80 Anfragen gehen zuerst zum Fli4l und der
leitet die an den Richtigen Server weiter.
Alle 443 Anfragen gehen zuerst an den Fli4l und der leitet die dann an
den entsprechenden Server weiter.
Das wird auch der AVM Router nicht anders machen. Da kommen die Anfragen
von außen auch auf dessen WAN IP an. Und abhängig vom gewünschten Port
leitet er sie dann weiter an einen internen host.
Post by Marcus Roeckrath
Worum sollte das nicht weiterhin gehen.
Ja, eben.
Post by Marcus Roeckrath
Was mir allerdings nicht klar ist, wie du eingehende Port-80-Pakete an
verschiedene interne Server aufsplitten willst.
Vielleicht meinte er name-based virtual hosts. Das würde dann erfordern
das die weiterleitung abhängig vom im request mitgesendeten angefragten
hostnamen gemacht wird. Ich denke das wird nicht gehen, nur mit deep
packet inspection o.ä. Aber wenn alle webservices auf einem internen
server liegen reicht eine weiterleitung und der interne server kann das
entscheiden. Allerdings: Mit NAT kommt die anfrage dann doch von der IP
des Routers.

Vielleicht geht es auch um verschiedene dienste (http, https, smtp,
pop3/imap,irc...) die er intern auf getrennten hosts hat....
Die unterscheiden sich dann ja in der portnummer und es reicht eine
weiterleitung pro host und dienst.

Kay
--
Sent via SN (Eisfair-1)
Marcus Roeckrath
2019-04-20 14:40:29 UTC
Permalink
Hallo Kay,
Post by Kay Martinen
Post by Marcus Roeckrath
Was mir allerdings nicht klar ist, wie du eingehende Port-80-Pakete an
verschiedene interne Server aufsplitten willst.
Vielleicht meinte er name-based virtual hosts. Das würde dann erfordern
das die weiterleitung abhängig vom im request mitgesendeten angefragten
hostnamen gemacht wird. Ich denke das wird nicht gehen, nur mit deep
packet inspection o.ä. Aber wenn alle webservices auf einem internen
server liegen reicht eine weiterleitung und der interne server kann das
entscheiden. Allerdings: Mit NAT kommt die anfrage dann doch von der IP
des Routers.
Vielleicht geht es auch um verschiedene dienste (http, https, smtp,
pop3/imap,irc...) die er intern auf getrennten hosts hat....
Die unterscheiden sich dann ja in der portnummer und es reicht eine
weiterleitung pro host und dienst.
Er schrieb doch explizit 80 und 443 an verschiedene Server weiterleiten,
also nur http und https und ich hatte es nicht so verstanden, dass 80 an
einen Server und 443 an einen anderen gehen soll.

Zudem frage ich mich, wie das überhaupt mit einem DAU-Router wie den
Fritzboxen gehen soll, die er für diesen Zweck derzeit nutzt.

Das Teil kann ja nichtmal zwei verschiedene externe Ports an einen internen
weiterleiten.
--
Gruss Marcus
Peter Schiefer
2019-04-20 14:46:13 UTC
Permalink
Hallo Andreas,
Post by Andreas Lehmler
es ist schon Jahrzente her, das ich einen Fli4l laufen hatte. Was ich
noch weiß war, das wenn eine Anfrage auf eine meiner DYNDNS Adressen
kam, die an den richtigen Server ( hab 5 verschiedene ) weitergeleitet
wurde. Alle anfragen kammen auf Port 80 und wurden dann automatisch an
den richtigen Server weitergeleitet.
Gibt es das heute auch noch ?
Ja

hier mal ein Beispiel aus der 4.0er config:
PF_PREROUTING[]='prot:tcp dynamic:443 DNAT:@vm-web'
{
COMMENT='https-Zugriff -> web-server'
}

woraus dann mkfli4l das folgende macht (was dann der Syntax von 3.10.x
entspricht):
PF_PREROUTING_N='1'
PF_PREROUTING_1='prot:tcp dynamic:443 DNAT:@vm-web'
PF_PREROUTING_1_COMMENT='https-Zugriff -> web-server'

@vm-web ist hier wiederum ein Platzhalter für die IP des HOSTS vm-web der
unter HOSTS in der dns_dhcp.txt definiert ist.
Post by Andreas Lehmler
Mom regel ich das über die AVM-Router mit den entsprechenden Port
weiterleitungen.
Meine Vorstellung alle Port 80 Anfragen gehen zuerst zum Fli4l und der
leitet die an den Richtigen Server weiter.
wenn der fli4l reiner Ethernet-Router ohne NAT ist, kann die FB das doch
direkt an den Zielserver leiten.
Post by Andreas Lehmler
Alle 443 Anfragen gehen zuerst an den Fli4l und der leitet die dann an
den entsprechenden Server weiter.
noch mal folgendes zur Klarstellung - ein Port kann immer nur an ein Ziel
weitergeleitet werden:
z.B.
Port 80 -> Server 1
Port 81 -> Server 2
Port 443 -> Server 2
...


Gruß Peter
Loading...