Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Certificat TVA pentru Auto SH de ...

Sectorul 4 ridica masini abuziv?

Motorul se supraincalzeste?
 avarie usoara

Rotoare, statoare și alte ge...

Achizitie logan nou (ce cutie, ce...

La multi ani @micutu82!
 Olivia Newton-John va ramane prin...

Refuz comanda rapida ?!

Certion - proiecte la mare ș...

Pe Windows 10 am dat o scanare a ...
 Nedumerire Bticino Living Now Sma...

personal cloud? Cum si ce?

Efect advers brahiterapie

Recomandare laptop gaming
 

Cisco ASA - web server

- - - - -
  • Please log in to reply
11 replies to this topic

#1
Bratu_danut_007

Bratu_danut_007

    Member

  • Grup: Members
  • Posts: 265
  • Înscris: 10.10.2006
Un help va rog.
Se da un server web 192.168.0.6 cu mai multe aplicatii web configurate in IIS pe port 8888 si 9999 pentru iesire outside (ip extern)88.99.66.77.
Un firewall Cisco FPR-1120 unde exista regula NAT si ACL pentru a functiona in exterior aplicatia WEB. Aplicatia functioneaza foarte bine in extern.
Problema este ca aplicatia web este configurata in IIS sa functioneze doar prin IP-ul extern 88.99.66.77 iar in LAN 192.168.0.1/24 nu se deschide pentru userii din local.
Cum as putea rezolva problema evitand sa fac un DMZ? Alte idei?

Orice idee este binevenita.

Multumesc!

Edited by Bratu_danut_007, 21 March 2022 - 19:24.


#2
sorin147

sorin147

    Senior Member

  • Grup: Senior Members
  • Posts: 5,056
  • Înscris: 11.08.2003
La bindings, pentru portul in cauza, ce ai la IP address? 88.99 sau All Unassigned?
Si la host name?

#3
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,786
  • Înscris: 07.03.2006
iti trebuie hairpin nat pt subnetul respectiv.

#4
Ruben56

Ruben56

    Senior Member

  • Grup: Senior Members
  • Posts: 2,754
  • Înscris: 05.12.2013
Solutia 1: Spune-i lu IIS sa asculte si pe subnetul dorit de tine pt virtual host-ul respectiv. Sau seteaza-l direct sa asculte pe toate interfetele masinii. Atunci oricine din orice subnet, cat timp firewall-ul permite, se va putea conecta. Iar din exterior va merge la fel

Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense.

#5
Bratu_danut_007

Bratu_danut_007

    Member

  • Grup: Members
  • Posts: 265
  • Înscris: 10.10.2006

View Postsorin147, on 21 martie 2022 - 22:37, said:

La bindings, pentru portul in cauza, ce ai la IP address? 88.99 sau All Unassigned?
Si la host name?

Este setat - All Unassigned iar la fost situl eee.ro catre este pointat la hosting sa bata cate IP-ul extern 88.99.66.77
Idee este ca sunt mai multe situri pe diferite porturi care la fel config fff.ro ->bate cate IP-ul extern 88.99.66.77, ...



View Postogo, on 21 martie 2022 - 22:46, said:

iti trebuie hairpin nat pt subnetul respectiv.

Am vazut pe internet ca ar fi o solutie....


View PostRuben56, on 22 martie 2022 - 00:30, said:

Solutia 1: Spune-i lu IIS sa asculte si pe subnetul dorit de tine pt virtual host-ul respectiv. Sau seteaza-l direct sa asculte pe toate interfetele masinii. Atunci oricine din orice subnet, cat timp firewall-ul permite, se va putea conecta. Iar din exterior va merge la fel

Poti exemplifica putin te rog. Asa cum am scris mai sus am mai multe domenii care "bat" catre IP-ul extern.
Am incercat o solutie ( prin adaugarea in  c:\windows\system32\drivers\etc\hosts o linie cu 192.168.0.6  www.domeniu.ro) care a functionat pentru un site, dar ce fac cu restul siturilor care au bat catre acelasi IP extern.

Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense.

Colegii de la programare sunt ca este o problema de network si tind sa le dau dreptate deoarece daca dau ping din LAN local catre ip-ul extern nu imi rapunde.

#6
sorin147

sorin147

    Senior Member

  • Grup: Senior Members
  • Posts: 5,056
  • Înscris: 11.08.2003
Din lan nu ai de ce sa ajungi pe ala extern, trebuie sa ajungi pe intern, ca d-aia il ai.
Sterge ce ai la host si testeaza cu un telnet in ipul intern (intai pe IP ca sa fii sigur ca nu ai alte probleme) pe portul respectiv:
- daca merge, verifici si siteul
- daca nu merge, verifica in firewall sa nu fie ceva blocat

#7
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,786
  • Înscris: 07.03.2006

View Postsorin147, on 22 martie 2022 - 09:47, said:

Din lan nu ai de ce sa ajungi pe ala extern, trebuie sa ajungi pe intern, ca d-aia il ai.


pt asta are nevoie de hairpin, asa cum am mai zis.
de ex
server ip: 192.168.0.10 unde sunt hostate n site-uri fiecare pe alt port: 500/600/etc/etc
pt aaa.com:500 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:500
pt bbb.com:600 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:600
s.a.m.d.


View PostRuben56, on 22 martie 2022 - 00:30, said:

Solutia 2: mesajul lui @ogo, doar ca e ca si cum te scarpini la urechea dreapta cu mana stanga. Merge, dar tu ai o problema de binding in IIS aici si nu are rost sa o repari folosind networking-ul. Doesn't make sense.
dimpotriva, asta e singura solutie corecta

#8
Ruben56

Ruben56

    Senior Member

  • Grup: Senior Members
  • Posts: 2,754
  • Înscris: 05.12.2013
Deci tu ai mai multe domenii care pointeaza catre site-urile hostate pe un singur IP. Acum situatia e mai clara. Atunci ai variantele:

Varianta 1: Hairpinning. E solutie rapida, pt ca vei face HTTP requests cu Host-ul corect setat in headers, dar cu pachetul IP va fi rutat la adresa serverului. Dupa clarificarea situatiei, sunt de acord cu @ogo.

Varianta 2: Daca vrei sa eviti hairpinning, vei avea nevoie de DNS local, dar trebuie facut cu grija ca altfel obtii batai de cap mai mari.

Daca ai fi avut un singur website, atunci mergea cum ziceam eu direct din IIS, fara nicio retelistica. Ascultai pt orice conexiune si acceptai orice domeniu pt singurul tau website pe IIS.

#9
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,786
  • Înscris: 07.03.2006
Da, astea-s solutiile:
1. Hairpin
2. Split-dns

#10
Bratu_danut_007

Bratu_danut_007

    Member

  • Grup: Members
  • Posts: 265
  • Înscris: 10.10.2006

View Postogo, on 22 martie 2022 - 10:58, said:

pt asta are nevoie de hairpin, asa cum am mai zis.
de ex
server ip: 192.168.0.10 unde sunt hostate n site-uri fiecare pe alt port: 500/600/etc/etc
pt aaa.com:500 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:500
pt bbb.com:600 tot ce vine din lan 192.168.0.0/24 -> se duce la 192.168.0.10:600
s.a.m.d.



dimpotriva, asta e singura solutie corecta

View PostRuben56, on 22 martie 2022 - 11:52, said:

Deci tu ai mai multe domenii care pointeaza catre site-urile hostate pe un singur IP. Acum situatia e mai clara. Atunci ai variantele:

Varianta 1: Hairpinning. E solutie rapida, pt ca vei face HTTP requests cu Host-ul corect setat in headers, dar cu pachetul IP va fi rutat la adresa serverului. Dupa clarificarea situatiei, sunt de acord cu @ogo.

Varianta 2: Daca vrei sa eviti hairpinning, vei avea nevoie de DNS local, dar trebuie facut cu grija ca altfel obtii batai de cap mai mari.

Daca ai fi avut un singur website, atunci mergea cum ziceam eu direct din IIS, fara nicio retelistica. Ascultai pt orice conexiune si acceptai orice domeniu pt singurul tau website pe IIS.

Multumesc de info cred ca aceasta este solutia cea mai ok. O sa incerc sa config hairpinning dar nu am mai facut paba acum.

#11
Bratu_danut_007

Bratu_danut_007

    Member

  • Grup: Members
  • Posts: 265
  • Înscris: 10.10.2006

View Postogo, on 22 martie 2022 - 12:04, said:

Da, astea-s solutiile:
1. Hairpin
2. Split-dns


Am facut un test folosind calculatorul meu in locul serverului web si a functionat. Vad ca pot accesa si telnet functional atat din LAN:port cat si IPextern:port

Este ok cum am facut hairpin-ul , in ideea sa nu am probleme pe viitor?


same-security-traffic permit intra-interface

object-group network LOCAL_LAN
network-object 192.168.0.0 255.255.255.0

object network SRV_WEB_IP_EXTERN
host xxx.xxx.xxx.xxx

object network SRV_WEB_IP_INTERN
host 192.168.0.3

object service SRV777
service tcp destination eq 777

nat (INSIDE,INSIDE) source dynamic LOCAL_LAN interface destination static SRV_WEB_IP_EXTERN SRV_WEB_IP_INTERN service SRV777 SRV777

Edited by Bratu_danut_007, 22 March 2022 - 13:15.


#12
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,786
  • Înscris: 07.03.2006
sorry, nu am experiente cu ASA.

Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate