Neurochirurgie minim invazivă
"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv. Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice. www.neurohope.ro |
Cisco ASA - web server
Last Updated: Mar 22 2022 14:51, Started by
Bratu_danut_007
, Mar 21 2022 19:21
·
0
#1
Posted 21 March 2022 - 19:21
Un help va rog.
Se da un server web 192.168.0.6 cu mai multe aplicatii web configurate in IIS pe port 8888 si 9999 pentru iesire outside (ip extern)88.99.66.77. Un firewall Cisco FPR-1120 unde exista regula NAT si ACL pentru a functiona in exterior aplicatia WEB. Aplicatia functioneaza foarte bine in extern. Problema este ca aplicatia web este configurata in IIS sa functioneze doar prin IP-ul extern 88.99.66.77 iar in LAN 192.168.0.1/24 nu se deschide pentru userii din local. Cum as putea rezolva problema evitand sa fac un DMZ? Alte idei? Orice idee este binevenita. Multumesc! Edited by Bratu_danut_007, 21 March 2022 - 19:24. |
#2
Posted 21 March 2022 - 22:37
La bindings, pentru portul in cauza, ce ai la IP address? 88.99 sau All Unassigned?
Si la host name? |
#4
Posted 22 March 2022 - 00:30
Solutia 1: Spune-i lu IIS sa asculte si pe subnetul dorit de tine pt virtual host-ul respectiv. Sau seteaza-l direct sa asculte pe toate interfetele masinii. Atunci oricine din orice subnet, cat timp firewall-ul permite, se va putea conecta. Iar din exterior va merge la fel
Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense. |
#5
Posted 22 March 2022 - 09:38
sorin147, on 21 martie 2022 - 22:37, said:
La bindings, pentru portul in cauza, ce ai la IP address? 88.99 sau All Unassigned? Si la host name? Este setat - All Unassigned iar la fost situl eee.ro catre este pointat la hosting sa bata cate IP-ul extern 88.99.66.77 Idee este ca sunt mai multe situri pe diferite porturi care la fel config fff.ro ->bate cate IP-ul extern 88.99.66.77, ... ogo, on 21 martie 2022 - 22:46, said:
iti trebuie hairpin nat pt subnetul respectiv. Am vazut pe internet ca ar fi o solutie.... Ruben56, on 22 martie 2022 - 00:30, said:
Solutia 1: Spune-i lu IIS sa asculte si pe subnetul dorit de tine pt virtual host-ul respectiv. Sau seteaza-l direct sa asculte pe toate interfetele masinii. Atunci oricine din orice subnet, cat timp firewall-ul permite, se va putea conecta. Iar din exterior va merge la fel Poti exemplifica putin te rog. Asa cum am scris mai sus am mai multe domenii care "bat" catre IP-ul extern. Am incercat o solutie ( prin adaugarea in c:\windows\system32\drivers\etc\hosts o linie cu 192.168.0.6 www.domeniu.ro) care a functionat pentru un site, dar ce fac cu restul siturilor care au bat catre acelasi IP extern. Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense. Colegii de la programare sunt ca este o problema de network si tind sa le dau dreptate deoarece daca dau ping din LAN local catre ip-ul extern nu imi rapunde. |
#6
Posted 22 March 2022 - 09:47
Din lan nu ai de ce sa ajungi pe ala extern, trebuie sa ajungi pe intern, ca d-aia il ai.
Sterge ce ai la host si testeaza cu un telnet in ipul intern (intai pe IP ca sa fii sigur ca nu ai alte probleme) pe portul respectiv: - daca merge, verifici si siteul - daca nu merge, verifica in firewall sa nu fie ceva blocat |
#7
Posted 22 March 2022 - 10:58
sorin147, on 22 martie 2022 - 09:47, said:
Din lan nu ai de ce sa ajungi pe ala extern, trebuie sa ajungi pe intern, ca d-aia il ai. pt asta are nevoie de hairpin, asa cum am mai zis. de ex server ip: 192.168.0.10 unde sunt hostate n site-uri fiecare pe alt port: 500/600/etc/etc pt aaa.com:500 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:500 pt bbb.com:600 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:600 s.a.m.d. Ruben56, on 22 martie 2022 - 00:30, said:
Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense. |
#8
Posted 22 March 2022 - 11:52
Deci tu ai mai multe domenii care pointeaza catre site-urile hostate pe un singur IP. Acum situatia e mai clara. Atunci ai variantele:
Varianta 1: Hairpinning. E solutie rapida, pt ca vei face HTTP requests cu Host-ul corect setat in headers, dar cu pachetul IP va fi rutat la adresa serverului. Dupa clarificarea situatiei, sunt de acord cu @ogo. Varianta 2: Daca vrei sa eviti hairpinning, vei avea nevoie de DNS local, dar trebuie facut cu grija ca altfel obtii batai de cap mai mari. Daca ai fi avut un singur website, atunci mergea cum ziceam eu direct din IIS, fara nicio retelistica. Ascultai pt orice conexiune si acceptai orice domeniu pt singurul tau website pe IIS. |
#10
Posted 22 March 2022 - 12:26
ogo, on 22 martie 2022 - 10:58, said:
pt asta are nevoie de hairpin, asa cum am mai zis. de ex server ip: 192.168.0.10 unde sunt hostate n site-uri fiecare pe alt port: 500/600/etc/etc pt aaa.com:500 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:500 pt bbb.com:600 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:600 s.a.m.d. dimpotriva, asta e singura solutie corecta Ruben56, on 22 martie 2022 - 11:52, said:
Deci tu ai mai multe domenii care pointeaza catre site-urile hostate pe un singur IP. Acum situatia e mai clara. Atunci ai variantele: Varianta 1: Hairpinning. E solutie rapida, pt ca vei face HTTP requests cu Host-ul corect setat in headers, dar cu pachetul IP va fi rutat la adresa serverului. Dupa clarificarea situatiei, sunt de acord cu @ogo. Varianta 2: Daca vrei sa eviti hairpinning, vei avea nevoie de DNS local, dar trebuie facut cu grija ca altfel obtii batai de cap mai mari. Daca ai fi avut un singur website, atunci mergea cum ziceam eu direct din IIS, fara nicio retelistica. Ascultai pt orice conexiune si acceptai orice domeniu pt singurul tau website pe IIS. Multumesc de info cred ca aceasta este solutia cea mai ok. O sa incerc sa config hairpinning dar nu am mai facut paba acum. |
|
#11
Posted 22 March 2022 - 13:14
ogo, on 22 martie 2022 - 12:04, said:
Da, astea-s solutiile: 1. Hairpin 2. Split-dns Am facut un test folosind calculatorul meu in locul serverului web si a functionat. Vad ca pot accesa si telnet functional atat din LAN:port cat si IPextern:port Este ok cum am facut hairpin-ul , in ideea sa nu am probleme pe viitor? same-security-traffic permit intra-interface object-group network LOCAL_LAN network-object 192.168.0.0 255.255.255.0 object network SRV_WEB_IP_EXTERN host xxx.xxx.xxx.xxx object network SRV_WEB_IP_INTERN host 192.168.0.3 object service SRV777 service tcp destination eq 777 nat (INSIDE,INSIDE) source dynamic LOCAL_LAN interface destination static SRV_WEB_IP_EXTERN SRV_WEB_IP_INTERN service SRV777 SRV777 Edited by Bratu_danut_007, 22 March 2022 - 13:15. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users