hello, On Wed, Sep 08, 2010 at 06:27:36PM +0200, Gabor HALASZ wrote: > 2010.09.08. 15:54 keltezéssel, Hegedüs Ervin írta: > >> > >> Nem nagyon ertelek > > konkrétan mit? > > > > Az egeszet kavarast, pl minek kell ip cima http-ben, nem lehetne oda is > dns name-t irni, stb...
ez volt a javaslatom az üzemeltetők/fejlesztők felé... > Az az 1.2.3.4 altalaban virtualis interface cime szokott lenni, akkro > tevedtem. példa volt, bocs. > >> de miert is nem hasznalsz valami proxyt > >> befele? A squid is tud accelerator lenni, apache/lighttpd/nginx mind tud > >> ilyet. > > > > ez mit változtatna a felálláson? > > > > Manipulalhatja a http forgalmat, ha mashogy nem, faragni kell egy > redirektort, ami atirja a cimet, par perc alatt megoldhato. de nem a kintről jövő forgalomban kell manipulálni, hanem akik bentről mennek proxyn keresztül. És itt ez a lényeg, h a belső kliensek mennek proxyn keresztül egy külső címre, amit ua a hoszt redirectel a saját hálójuk felé (bár ez utóbbi irreleváns, lehetne másik IF is, akkor is ue lenne a szitu) > > Attól még a Squid a kliens által kért 1.2.3.4-re akarna > > kapcsolódni, konkrétan én ezt látom problémának (tehát h az > > alkalmazás a saját hoszt egyik interface-re akar kapcsolódni, ami > > egyébként DNAT szabály szerint egy másik IP-re megy - vagyis hogy > > lehet lo interfacen egyébként nem lo IP címmel rendelkező > > csomagoknak megmondani, hogy a POSTROUTING-ban levő szabályt > > légyszi' vegyék figyelembe) > > Ez mar tobbszor emlegettem a listan, de nem lehet elegszer ismetelni: az > netfilterben csak a prerouting chainekben lehet olyan szabalyt irni, ami > a destination interface-en valtoztat, a routeing (ami nem ip routeing, > tobbek kozott az is itt dol el, hogy melyik lesz az output interface) > utan mar nem. igen, tisztában vagyok ezzel, de megpróbálom harmadik módon megfogalmazni a kérdést: egy csomagot hogy lehet routingra kényszeríteni, ha egyébként nem lenne routing (egy adott IP:célport alapján)? iproute[2] vagy vmi egyéb mágikus tool jó lenne erre? tapasztalat érdekelne, vagy bármi, ami felett esetleg elsiklottam. > > Én azt javasoltam, h a vegyünk fel egy új rekordot az adott > > zónába, a weblapon írják át az IP hivatkozást DNS névre, és a > > Squid-nek megmondom h az az új A rekord az 5.6.7.8-ra mutat. > > > > Nagyjabol, a korrekt megoldas termeszetesen a split-dns, ahol az > internal dns lefedi az external dnst is, csak a privat ip cimekket ad > vissza, es termeszetesen http linkben nem hasznaltok ip cimet. > > > (de ehhez jelenleg 300 felett jár a felhívott egyének száma, és > > perpill senki nem érzi magát illetékesnek) > > > Jo kis helyen dolgozol :) nem itt dolgozom (szerencsére), ez csak amolyan úri passzió esténként lefekvés előtt. persze h a split DNS lenne a tisztább, szárazabb megoldás, de ez egy állami hivatal, a döntés (szerintem) kb így megy (a lista következő eleme az előzőt minden pontjában felülbírálja): - mi a logikus - melyik a jobb ajánlat - a Béla a múltkor tejelt - most akkor is a Géza lesz Így asztán az a 300 telefon bár alkotói túlzás, de a 10 körüli szám sajnos nagyon is valós :( a. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
