Cấu hình public web server (3 web) với dãy ip public

Thảo luận trong 'Web Security' bắt đầu bởi Minh dũng, 25/06/21, 03:06 PM.

  1. Minh dũng

    Minh dũng Active Member

    Tham gia: 05/12/17, 03:12 PM
    Bài viết: 33
    Đã được thích: 2
    Điểm thành tích:
    8
    Xin phéo e hỏi chút vấn đề có thể chưa liên quan đến chủ đề bảo vệ web server với ah.
    Chả là hiện tại e đang có 1 IP public và đang sử dụng 1 máy chủ cài đặt reverse proxy apach( server A) e để phân luồng đên 3 web server ( trên 3 máy chủ) khác nhau, ví dụ server B, C, D. trên router biên e cấu hình port 80 trỏ đến ip của server A (IP private).
    E muốn hỏi chút là bây giờ e muốn trỏ trực tiếp từ router biên đến các server B, C, D mà không qua máy chủ Proxy nữa được không ah, để người dùng sẽ truy cập trực tiếp từ bên ngoài vào từng server. hj tại vì có a phần mềm nói tại proxy và nói phái trực tiếp chứ ko qua máy chủ này nữa.
    Có 1 số người nói cần mua thêm dãy IP Public như là gói block 8 ip tĩnh của nhà mạng, mục đích của gói này e cũng đang lơ mơ không hiểu nó dùng vào việc gì ( e đang hiểu là 1 tên miền- 1 web server đó có thể truy cập qua dãy IP đó), có áp dụng vào giải quyết được trường hợp của e như trên không ah.
    Mô hình mạng như sau: DMZ ( Server A, B, C, D)--> ASA-->Router biên-->Internet.
    Cảm ơn các a chị đã giúp đỡ ah
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. bobby13689

    bobby13689 VIP Members

    Tham gia: 27/04/17, 09:04 AM
    Bài viết: 39
    Đã được thích: 43
    Điểm thành tích:
    18
    Trước hết, em phải check xem việc mở truy cập từ bên ngoài internet vào đến các web server của em có được không.

    Nếu mô hình mạng của em có hỗ trợ chuyện đó, thì em có thể dùng giải pháp mà em có nói ở trên, là mua 1 block 8 IP tĩnh (mục đích của việc này là khai báo với ISP rằng em sẽ NAT các web server của em vào các IP đó, và ISP đừng đổi các IP đó cho người dùng khác).
     
    Chỉnh sửa cuối: 25/06/21, 05:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. 0NONAME0

    0NONAME0 Active Member

    Tham gia: 25/04/19, 02:04 PM
    Bài viết: 29
    Đã được thích: 5
    Điểm thành tích:
    3
    -Chào bạn, như vấn đề của bạn thì hiện tại khi truy cập vào IP WAN thì tự động trỏ đến Server A đúng k ạ?
    - Và mong muốn của bạn là muốn Public 3 Server đến tất cả người dùng hay chỉ là 1 số user ?
    + nếu để test lab nên bạn thử mở 1 số port ( mỗi server 1 port web) rồi nat Port + địa chỉ server trên con Router Biên thì thế nào? truy cập vào IP WAN + Port Server?
    +
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tuantran thích bài này.
  4. Minh dũng

    Minh dũng Active Member

    Tham gia: 05/12/17, 03:12 PM
    Bài viết: 33
    Đã được thích: 2
    Điểm thành tích:
    8
    vâng, mong muốn của e là Public 3 Server đến tất cả người dùng bên ngoài Internet, truy cập vào IP WAN ( Public1, 2, 3)- domain name( A.com, B.Com, C.com) thì trỏ đến server A, B, C tương ứng. hiện tại thì với 1 ip bublic e vẫn đang dùng bình thường nhưng phải qua con máy chủ proxy. có 2 cách mà e nghĩ tới nhưng chưa biết cách config
    - 1 là với mô hình Internet-->Router cisco rv042 --> ASA-->DMZ : Trong mô hình này e chưa biết quay số cũng như config rv042 thế nào ? trên này có chức năng One Nat to Nat.
    - 2 là Internet-->ASA--> DMZ: cái này thì không dùng Router biên nữa, nên e đang tìm hiểu config ousite trên ASA với PPPoE. có điều chưa từng làm nên có ai đi trước nhờ chỉ giúp với ah.
    e cũng test vừa tham khảo thêm các a chị đã đi trước ah
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    0NONAME0 thích bài này.
  5. Minh dũng

    Minh dũng Active Member

    Tham gia: 05/12/17, 03:12 PM
    Bài viết: 33
    Đã được thích: 2
    Điểm thành tích:
    8
    hj a, mô hình mạng hiện tại vẫn chạy ổn ah. e dùng 1 ip tĩnh : router biên - asa - dmz, và dùng proxy. giờ vẫn mô hình đó e muốn thay bằng dãy ip public. e vẫn đang mò config nó.
    Hiện dãy IP e đc cấp là x.x.x.1/29:
    Trên Router biên ( router rv cisco): cổng wan dể pppoe, Lan là 1 địa chỉ ( xxx.2) kết nối với outside của ASA
    2 sweb server port 80: có ip là 192.168.1.2, 192.168.1.3 tương ứng là web1, web2
    Trên ASA : cổng outside là xxx3 , cổng dmz là 192.168.1.0. e NAT (dmz,outside) xxx3 -192.168.1.2, xxx4- 192.168.1.3
    hj. khi e để như vậy thì bên ngoài vào địa chỉ xxx3, hoặc xxx4 thì đều trỏ về web1 hoặc web2.
    mục đích là e muốn nó trỏ về từng server như mình đã NAT
    Các a chị đi trước có kinh nghiệm hỗ trợ e với ah
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Like

    Like W-------

    Tham gia: 16/01/15, 09:01 AM
    Bài viết: 14
    Đã được thích: 4
    Điểm thành tích:
    18
    Chào bạn,

    Theo thông tin mình đọc thì đang hiểu như sau:
    - Mô hình hiện tại của bạn: User - Internet - Router - Firewall - Proxy - Web Server. Và bạn muốn : User - Internet - Router - Firewall - Web Server (03)
    - Vì bạn chỉ có 1 IP public nên nếu bạn nat 1-1 thì sẽ chỉ có 1 Web Server vào được thôi. Bạn có thể sử dụng NAT Port Forwarding. Tuy nhiên nhược điểm là chỉ có 1 IP public nên port http/https sẽ chỉ 1 Web Server sử dụng. 02 Web Server còn lại sẽ phải dùng port khác. Ví dụ: Web Server 1 (port 443) --> IP Public (port 443), Web Server 2 (port 443) ---> IP Public (port 8443).. Điều này dẫn đến khi User muốn kết nối phải điền thêm port ở sau domain. Ví dụ: https://abc.com:8443. Đó là lí do vì sao lại có proxy ở mô hình cũ.
    - Việc mua thêm IP public sẽ giải quyết được nhược điểm trên. Và khi đó bạn có thể NAT 1-1 hoặc NAT Port Forwarding tùy cấu hình. Ví dụ: Web Server 1 ---> IP Public 1, Web Server 2 --> IP Public 2 (trường hợp NAT 1-1); Web Server 1 (443) --> IP Public 1 (443); Web Server 2 (443) --> Ip Public 2 (443) (NAT Port Forward). Ở đây mình khuyên bạn nên dùng Port Fowarding.

    - Về cách cấu hình thì google khá nhiều. Mình gửi bạn cấu trúc cấu hình NAT Port Forwarding trên Cisco:
    Router(config)#Ip nat inside source {static (tcp|udp) local-ip local-port global-ip global-port} [extendable]

    Hi vọng có thể giúp ích cho bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan