В accesslog пишет внутренние адреса

Zapredelniy · 22 ноября 2017, 17:21:50

Всем привет!

Возникла следующая проблема:
есть 2 сервера на debian- один web-сервер (пусть- 192.168.0.1)
прокси-сервер (iptables + squid, пусть внутренний- 192.168.0.2, внешний- 160.0.0.1)

Веб сервер за прокси и к нему адреса клиентов доходят в виде адреса прокси с портом (192.168.0.2:44332)
В iptables из разных статей по-разному прописывал MASQUERADE (последний оставленный вариант:

iptables -t nat -A POSTROUTING -o 160.0.0.1 -s 192.168.0.1 -j MASQUERADE

+как на других серверах нерезаный интернет:

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.1 -j SNAT --to-source 160.0.0.1

Хочу видеть на сайтовом сервере видеть внешние Ip адреса, чтобы их блочить. Любителям напомнить о существовании гугла- перепробовал миллион вариантов, не нашел. Остальным- заранее спасибо!

RRR777 · 23 ноября 2017, 16:02:07

В этом и суть NAT что на самом web-сервере ты не увидишь внешние IP-адреса.
Мне кажется проще проще пробросить порты http и https через прокси, тогда твой web-сервер будет знать кто кто к нему обращается извне...

endru · 24 ноября 2017, 04:26:42

Цитата: Zapredelniy от 22 ноября 2017, 17:21:50один web-сервер

какой? их куча бывает.

Цитата: Zapredelniy от 22 ноября 2017, 17:21:50Веб сервер за прокси и к нему адреса клиентов доходят в виде адреса прокси с портом (192.168.0.2:44332)

не правильное применение прокси. кэшировать и проксировать нужно только статику. не вижу смысла пускать абсолютно весь трафик через proxy. нет динамического контента на сайте вообще?

Цитата: Zapredelniy от 22 ноября 2017, 17:21:50iptables -t nat -A POSTROUTING -o 160.0.0.1 -s 192.168.0.1 -j MASQUERADE

что это? и зачем? я так понимаю в iptables вообще полная каша.

все конфиги показываем.

ZEN · 24 ноября 2017, 20:09:25

Zapredelniy вам стоит поискать в сети про установку хедера X-Real-IP проксей для веб сервера.

Русскоязычное сообщество Debian GNU/Linux

В accesslog пишет внутренние адреса

Zapredelniy

RRR777

endru

ZEN