Hỏi về: Cấu hình public web server (3 web) với dãy IP public

Minh dũng

Active Member
05/12/2017
2
33 bài viết
Hỏi về: Cấu hình public web server (3 web) với dãy IP public
Xin phép e hỏi chút vấn đề có thể chưa liên quan đến chủ đề bảo vệ web server với ah.
Chả là hiện tại e đang có 1 IP public và đang sử dụng 1 máy chủ cài đặt reverse proxy apach( server A) e để phân luồng đên 3 web server ( trên 3 máy chủ) khác nhau, ví dụ server B, C, D. trên router biên e cấu hình port 80 trỏ đến ip của server A (IP private).
E muốn hỏi chút là bây giờ e muốn trỏ trực tiếp từ router biên đến các server B, C, D mà không qua máy chủ Proxy nữa được không ah, để người dùng sẽ truy cập trực tiếp từ bên ngoài vào từng server. hj tại vì có a phần mềm nói tại proxy và nói phái trực tiếp chứ ko qua máy chủ này nữa.
Có 1 số người nói cần mua thêm dãy IP Public như là gói block 8 ip tĩnh của nhà mạng, mục đích của gói này e cũng đang lơ mơ không hiểu nó dùng vào việc gì ( e đang hiểu là 1 tên miền- 1 web server đó có thể truy cập qua dãy IP đó), có áp dụng vào giải quyết được trường hợp của e như trên không ah.
Mô hình mạng như sau: DMZ ( Server A, B, C, D)--> ASA-->Router biên-->Internet.
Cảm ơn các a chị đã giúp đỡ ah
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Xin phéo e hỏi chút vấn đề có thể chưa liên quan đến chủ đề bảo vệ web server với ah.
Chả là hiện tại e đang có 1 IP public và đang sử dụng 1 máy chủ cài đặt reverse proxy apach( server A) e để phân luồng đên 3 web server ( trên 3 máy chủ) khác nhau, ví dụ server B, C, D. trên router biên e cấu hình port 80 trỏ đến ip của server A (IP private).
E muốn hỏi chút là bây giờ e muốn trỏ trực tiếp từ router biên đến các server B, C, D mà không qua máy chủ Proxy nữa được không ah, để người dùng sẽ truy cập trực tiếp từ bên ngoài vào từng server. hj tại vì có a phần mềm nói tại proxy và nói phái trực tiếp chứ ko qua máy chủ này nữa.
Có 1 số người nói cần mua thêm dãy IP Public như là gói block 8 ip tĩnh của nhà mạng, mục đích của gói này e cũng đang lơ mơ không hiểu nó dùng vào việc gì ( e đang hiểu là 1 tên miền- 1 web server đó có thể truy cập qua dãy IP đó), có áp dụng vào giải quyết được trường hợp của e như trên không ah.
Mô hình mạng như sau: DMZ ( Server A, B, C, D)--> ASA-->Router biên-->Internet.
Cảm ơn các a chị đã giúp đỡ ah

Trước hết, em phải check xem việc mở truy cập từ bên ngoài internet vào đến các web server của em có được không.

Nếu mô hình mạng của em có hỗ trợ chuyện đó, thì em có thể dùng giải pháp mà em có nói ở trên, là mua 1 block 8 IP tĩnh (mục đích của việc này là khai báo với ISP rằng em sẽ NAT các web server của em vào các IP đó, và ISP đừng đổi các IP đó cho người dùng khác).
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Xin phéo e hỏi chút vấn đề có thể chưa liên quan đến chủ đề bảo vệ web server với ah.
Chả là hiện tại e đang có 1 IP public và đang sử dụng 1 máy chủ cài đặt reverse proxy apach( server A) e để phân luồng đên 3 web server ( trên 3 máy chủ) khác nhau, ví dụ server B, C, D. trên router biên e cấu hình port 80 trỏ đến ip của server A (IP private).
E muốn hỏi chút là bây giờ e muốn trỏ trực tiếp từ router biên đến các server B, C, D mà không qua máy chủ Proxy nữa được không ah, để người dùng sẽ truy cập trực tiếp từ bên ngoài vào từng server. hj tại vì có a phần mềm nói tại proxy và nói phái trực tiếp chứ ko qua máy chủ này nữa.
Có 1 số người nói cần mua thêm dãy IP Public như là gói block 8 ip tĩnh của nhà mạng, mục đích của gói này e cũng đang lơ mơ không hiểu nó dùng vào việc gì ( e đang hiểu là 1 tên miền- 1 web server đó có thể truy cập qua dãy IP đó), có áp dụng vào giải quyết được trường hợp của e như trên không ah.
Mô hình mạng như sau: DMZ ( Server A, B, C, D)--> ASA-->Router biên-->Internet.
Cảm ơn các a chị đã giúp đỡ ah
-Chào bạn, như vấn đề của bạn thì hiện tại khi truy cập vào IP WAN thì tự động trỏ đến Server A đúng k ạ?
- Và mong muốn của bạn là muốn Public 3 Server đến tất cả người dùng hay chỉ là 1 số user ?
+ nếu để test lab nên bạn thử mở 1 số port ( mỗi server 1 port web) rồi nat Port + địa chỉ server trên con Router Biên thì thế nào? truy cập vào IP WAN + Port Server?
+
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tuantran
Comment
vâng, mong muốn của e là Public 3 Server đến tất cả người dùng bên ngoài Internet, truy cập vào IP WAN ( Public1, 2, 3)- domain name( A.com, B.Com, C.com) thì trỏ đến server A, B, C tương ứng. hiện tại thì với 1 ip bublic e vẫn đang dùng bình thường nhưng phải qua con máy chủ proxy. có 2 cách mà e nghĩ tới nhưng chưa biết cách config
- 1 là với mô hình Internet-->Router cisco rv042 --> ASA-->DMZ : Trong mô hình này e chưa biết quay số cũng như config rv042 thế nào ? trên này có chức năng One Nat to Nat.
- 2 là Internet-->ASA--> DMZ: cái này thì không dùng Router biên nữa, nên e đang tìm hiểu config ousite trên ASA với PPPoE. có điều chưa từng làm nên có ai đi trước nhờ chỉ giúp với ah.
e cũng test vừa tham khảo thêm các a chị đã đi trước ah
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: 0NONAME0
Comment
Trước hết, em phải check xem việc mở truy cập từ bên ngoài internet vào đến các web server của em có được không.

Nếu mô hình mạng của em có hỗ trợ chuyện đó, thì em có thể dùng giải pháp mà em có nói ở trên, là mua 1 block 8 IP tĩnh (mục đích của việc này là khai báo với ISP rằng em sẽ NAT các web server của em vào các IP đó, và ISP đừng đổi các IP đó cho người dùng khác).
hj a, mô hình mạng hiện tại vẫn chạy ổn ah. e dùng 1 ip tĩnh : router biên - asa - dmz, và dùng proxy. giờ vẫn mô hình đó e muốn thay bằng dãy ip public. e vẫn đang mò config nó.
Hiện dãy IP e đc cấp là x.x.x.1/29:
Trên Router biên ( router rv cisco): cổng wan dể pppoe, Lan là 1 địa chỉ ( xxx.2) kết nối với outside của ASA
2 sweb server port 80: có ip là 192.168.1.2, 192.168.1.3 tương ứng là web1, web2
Trên ASA : cổng outside là xxx3 , cổng dmz là 192.168.1.0. e NAT (dmz,outside) xxx3 -192.168.1.2, xxx4- 192.168.1.3
hj. khi e để như vậy thì bên ngoài vào địa chỉ xxx3, hoặc xxx4 thì đều trỏ về web1 hoặc web2.
mục đích là e muốn nó trỏ về từng server như mình đã NAT
Các a chị đi trước có kinh nghiệm hỗ trợ e với ah
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Xin phéo e hỏi chút vấn đề có thể chưa liên quan đến chủ đề bảo vệ web server với ah.
Chả là hiện tại e đang có 1 IP public và đang sử dụng 1 máy chủ cài đặt reverse proxy apach( server A) e để phân luồng đên 3 web server ( trên 3 máy chủ) khác nhau, ví dụ server B, C, D. trên router biên e cấu hình port 80 trỏ đến ip của server A (IP private).
E muốn hỏi chút là bây giờ e muốn trỏ trực tiếp từ router biên đến các server B, C, D mà không qua máy chủ Proxy nữa được không ah, để người dùng sẽ truy cập trực tiếp từ bên ngoài vào từng server. hj tại vì có a phần mềm nói tại proxy và nói phái trực tiếp chứ ko qua máy chủ này nữa.
Có 1 số người nói cần mua thêm dãy IP Public như là gói block 8 ip tĩnh của nhà mạng, mục đích của gói này e cũng đang lơ mơ không hiểu nó dùng vào việc gì ( e đang hiểu là 1 tên miền- 1 web server đó có thể truy cập qua dãy IP đó), có áp dụng vào giải quyết được trường hợp của e như trên không ah.
Mô hình mạng như sau: DMZ ( Server A, B, C, D)--> ASA-->Router biên-->Internet.
Cảm ơn các a chị đã giúp đỡ ah

Chào bạn,

Theo thông tin mình đọc thì đang hiểu như sau:
- Mô hình hiện tại của bạn: User - Internet - Router - Firewall - Proxy - Web Server. Và bạn muốn : User - Internet - Router - Firewall - Web Server (03)
- Vì bạn chỉ có 1 IP public nên nếu bạn nat 1-1 thì sẽ chỉ có 1 Web Server vào được thôi. Bạn có thể sử dụng NAT Port Forwarding. Tuy nhiên nhược điểm là chỉ có 1 IP public nên port http/https sẽ chỉ 1 Web Server sử dụng. 02 Web Server còn lại sẽ phải dùng port khác. Ví dụ: Web Server 1 (port 443) --> IP Public (port 443), Web Server 2 (port 443) ---> IP Public (port 8443).. Điều này dẫn đến khi User muốn kết nối phải điền thêm port ở sau domain. Ví dụ: https://abc.com:8443. Đó là lí do vì sao lại có proxy ở mô hình cũ.
- Việc mua thêm IP public sẽ giải quyết được nhược điểm trên. Và khi đó bạn có thể NAT 1-1 hoặc NAT Port Forwarding tùy cấu hình. Ví dụ: Web Server 1 ---> IP Public 1, Web Server 2 --> IP Public 2 (trường hợp NAT 1-1); Web Server 1 (443) --> IP Public 1 (443); Web Server 2 (443) --> Ip Public 2 (443) (NAT Port Forward). Ở đây mình khuyên bạn nên dùng Port Fowarding.

- Về cách cấu hình thì google khá nhiều. Mình gửi bạn cấu trúc cấu hình NAT Port Forwarding trên Cisco:
Router(config)#Ip nat inside source {static (tcp|udp) local-ip local-port global-ip global-port} [extendable]

Hi vọng có thể giúp ích cho bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mô hình webserver bên bạn đang theo chuẩn cơ bản nếu chỉ chạy vài website thì quá lãng phí không hiệu quả lại còn mất thêm 1 system_admin để quản lý. Tốt nhất bạn nên chuyển các website này lên datacenter.

1. Bạn kiểm tra lại lưu lượng truy cập webserver rùi phân tích đưa ra lượng tài nguyên vận hàng mỗi website (cpu + ram + bandwitch internet)
2. Tìm hiểu các gói webserver do các bên hosting, datacenter cung cấp - so sánh chi phí so với cách đang vận hành.
3. Trình bản kế hoạch thay đổi mô hình web cty cho cấp trên.
4. Phối hợp bên cung cấp hosting chuyển toàn bộ sourcecode website lên hosting mới ( chuyển data + code, trỏ lại domain).
5. Down hệ thống cũ thanh lý.
Sau khi chuyển xong mình đảm bảo chi phí vận hàng + công sức bỏ ra cho hệ thống mới của system_admin sẽ ~ 0.

==> Nhiều bạn sẽ thắc mắc vấn đề ANM cho hệ thống mới: thực sự hệ thống cũ của bạn đang giải quyết bài toán thiết lập một mạng ra ngoài internet cho webserver là chính + con ASA không có tác dụng chống tấn công lớp 7 mô hình OSI nên vô dụng + lãng phí tài nguyên chi phí vận hành.

Khi website của bạn đứng trong hệ thống của datacenter với băng thông hàng chục Gb sẽ an toàn hơn khi tự mua gói quang 1Gb của nhà mạng để thiết lập một mạng riêng + các dịch vụ chống tấn công ddos bên datacenter cung cấp + cloufare sẽ hiệu quả hơn nhiều khi bạn tự thiết lập riêng phòng máy chủ để chạy webserver.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên