[UFW] Problem z preroutingiem

pytanie zadane 26 lipca 2016 w Systemy operacyjne, programy przez Kornelia Kobiela Nałogowiec (33,340 p.)
otagowane ponownie 26 lipca 2016 przez Kornelia Kobiela

Cześć wszystkim,

Moje pierwsze pytanie, więc mam lekkiego stresa. Postaram się jak najjaśniej nakreślić problem. Otóż przez jakiś czas pracowałam w zespole tworzącym Web Service, gdzie Jedna strona udostępniała REST Api drugiej. Dotychczas byłam odpowiedzialna przede wszystkim za stronę klienta, ale ze standardową instalacją, konfiguracją i uruchomieniem aplikacji REST- owej też sobie radziłam. Standardowo wyglądało to tak, że cała architektura - zarówno klient jak i serwer postawione były na jednym serwerze. Wtedy konfiguracja firewalla wyglądała tak:

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p udp --dport 80 -j REDIRECT --to-port 8000
COMMIT //plik before.rules

sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow 8000/udp
sudo ufw allow 8080
sudo ufw enable

Tym razem konfiguracja ma wyglądać nieco inaczej. Serwer udostępnia REST - api, ale przekierowuje je na inny, zewnętrzny adres IP. Chodzi o to, żeby zasoby udostępniane przez REST, były na innej maszynie. Usiłowałam to skonfigurować samodzielnie, ale niestety nie wyszło. Korzystałam przy tym z dokumentacji i takiego postu na forum. Może ktoś mi podpowiedzieć, jak to poprawnie skonfigurować? Z góry dziękuję, na wszelkie pytania odpowiem rano.

komentarz 26 lipca 2016 przez efiku Szeryf (75,160 p.)

Czyli chyba po prostu trzeba będzie udostępnić na tamtej maszynie odpowiedni port? (Akceptuje requesty GET /data/img.jpg ?) Pinguje po kogoś kto może Ci pomóc.

Syntax!

komentarz 26 lipca 2016 przez SyntaxError Pasjonat (17,170 p.)

Trochę mało informacji. Problem jest z przerzucenie ruchu przychodzącego na 80 port na port 8080 do innej maszyny?

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:8080

iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.10 --dport 8080 -j SNAT --to-source 192.168.1.11

Gdzie 192.168.1.10 to adres maszyny, która udostępnia API na porcie 8080.
A adres 192.168.1.11 to adres maszyny, na której ustawiamy przekierowanie.

Może też zrobić to na mod_proxy dla apache lub proxy_pass z nginx. Chyba będzie prościej.

komentarz 26 lipca 2016 przez efiku Szeryf (75,160 p.)

Dałbyś to jako odpowiedź, a nie komentarz :D

komentarz 26 lipca 2016 przez SyntaxError Pasjonat (17,170 p.)

Gdyby miał napisać odpowiedź to musiałbym w niej opisać dlaczego taki przełącznik z taką wartością i przykłady jak użyć mod_proxy oraz proxy_pass. Nie mam teraz na to czasu - może później. Ale liczę na to, że koleżanka potrafi z manów korzystać.

komentarz 26 lipca 2016 przez Kornelia Kobiela Nałogowiec (33,340 p.)

Moim zdaniem problem jest w przerzucenie ruchu na inny serwer. Kiedy wszystko siedziało na jednym serwerze, to nie było problemu z przekierowaniem portów. Jednak dzięki za wskazówki, pogrzebię przy tym dzisiaj