Mehrere Maschinen hinter NAT und Server/Subdomain in der DMZ

[slick]

Ich würde gern auf einer Testmaschine mehrere virtuelle Maschinen laufen lassen. Ob nun vmware, uml oder qemu ist dabei erstmal nicht relevant. Jede Maschine soll dann eine IP aus dem privaten Bereich bekommen und über NAT rauskommen, weil nur einen öffentliche IP zur Verfügung steht. Domain für den realen Host (der virtuellen Maschinen) ist dann z.B. example.com, für jede virtuelle Maschine (zumindest von "innen" betrachtet) eine Subdomain, z.B. files.example.com.

Um auf den virtuellen Maschinen nun jeweils auf Port 80 einen Webserver laufen zu lassen und dafür zu sorgen das die virtuellen Maschinen auch von extern über den Subdomainnamen (indirekt) erreichbar sind habe ich schonmal so erreicht, das ich auf dem Host einen Squid als http-accelerator aufsetzte der dann je nach angefragter Subdomain (die von außen alle auf den Host zeigten) die Daten von dem internen Webserver holte und rausgab.

Wie mache ich das aber für andere Dienste? Also ich meine z.B. POP3, also auf jeder "internen Subdomain" würde eine POP3-Server laufen und alle(!) sollen von außen unter dem 110 Port erreichbar sein, nur abhängig vom jeweiligen Domainnamen auf einen andere Maschine laufen.

Die Lösung jeweils extern einen anderen Port zuzuordnen und den dann per iptables auf den 110 intern umzubiegen ist mir bekannt, aber das meine ich nicht. Auch war das mit POP3 nur ein Beispiel.

Also ich dachte da eher so an eine Art Proxy, wie oben beschrieben die Squid Lösung, mit dem man alle Protokolle so behandeln kann. (oder kann das Squid sogar?) Insbesonders bei https hatte ich mit der Squid-Lösung meine Schwierigkeiten, ich denke da aber auch an Dinge wie ssh, ftp, p2p ...

Also zusammenfassend, ich möchte erreichen: Mit (virtuellen) Maschinen und IPs aus privatem Bereich in einem Netz welches nur über NAT nach extern angebunden ist Server (mit den jeweiligen Standardports innen wie außen) realisieren die so erscheinen als würden sie im öffentlichen Netz mit jeweils eigener IP liegen.

Das es wahrscheinlich nicht komplett möglich ist mir klar, ebenso was NAT macht, aber welche Lösungen nutzt ihr da so für welche Dienste?

[think4urs11]

[slick]

[think4urs11]

[slick]

[think4urs11]

[slick]

Na doch, das paßt schon, da ja im DNS (extern) die Domain und Subdomain auf die gleiche IP zeigen, da ja der DNS extern nicht die privaten Adressen aus der DMZ wissen kann. Und wie ich schon sagte, es ist eben nur mit genau EINER subdomain möglich. Klar kann man dann eine andere eingeben, dann bekommt man aber die Seite der vorgesehenen & genannte Fehlermeldung.

[sschlueter]

Allgemein gesagt funktioniert das, was du möchtest, nur bei solchen Protokollen direkt, die den vollen Namen des Hosts als Bestandteil ihres Protokolls senden.

Das ist bei HTTP der Fall, aber bei den meisten anderen Protokollen nicht.

Natürlich gibt es Proxies, die tricksen. Für POP3 beispielsweise kann man einen Proxy-Server machen, der anstelle von Username und Passwort ("foo" und "pass") die Anmeldung per "foo@bar" und "pass" erwartet. Er stellt dann seinerseits eine POP3-Verbindung zu "bar" her und authentifiziert sich mit "foo" und "pass".

Oder man benutzt gleich ein allgemeines Proxy-Protokoll. Das bekannteste allgemeine Proxy-Protokoll ist Socks. Dann kann man sich ganz simpel über das Proxy-Protokoll mit der gewünschten privaten IP verbinden - ganz ohne Tricks.

Ein populärer Socks-Server ist Dante http://www.inet.no/dante/.

Die Client-Anwendungen sollten jedoch Unterstüzung für das Socks-Protokoll haben. Es gibt zwar auch einen Socks-Wrapper, mit dem Anwendungen ohne Socks-Unterstüzung "socksifiziert" werden können, aber ich habe damit keine Erfahrung. Das Socksifizierungs-Tool ist auch Bestandteil des Dante-Pakets.

Natürlich muß man dann einen speziellen Proxy konfigurieren. Und man muß die privaten IPs kennen. Der Zugriff über die Subdomains gelingt nur dann, wenn man die DNS-Auflösung auch vom Socks Server durchführen läßt und dafür sorgt, daß dieser bei der Namensauflösung die richtigen privaten IPs erhält. Meiner Erfahrung nach kann man sich allerdings bei Clients mit Socks-Unterstüzung nicht unbedingt drauf verlassen, daß sie auf eine DNS-Auflösung verzichten und diese statt dessen vom Socks-Server erledigen lassen.

Es ist sicher überflüssig zu erwähnen, aber zur Sicherheit sage ich es trotzdem mal: Auf keinen Fall sollte man auf die Idee kommen, die öffentlichen DNS-Einträge privaten IP-Adressen zuzuordnen.

[think4urs11]

[slick]

[sschlueter]

Ja, beim Socks-Protokoll kann der CONNECT-Befehl bei der Zieladresse eine IP-Adresse oder einen FQDN enthalten.

Je nach Client kann es jedoch sein, daß der die Namensauflösung zuerst selbst macht und dann beim Socks-CONNECT-Befehl die IP-Adresse verwendet, die er bei der Namensauflösung erhalten hat. Wenn jetzt also die Subdomains öffentliche Einträge hätten und auf dieselbe IP wie die Hauptdomain verweisen würden, dann könnte das, was du möchtest, unter Umständen selbst für Proxy-Benutzer nicht klappen. Und für Nicht-Proxy-Benutzer klappt es ja ohnehin nicht. Also würde ich das dann so machen, daß die Subdomains ganz einfach keinen öffentlichen DNS-Eintrag haben. Es gibt ja ohnehin keine sinnvollen Einträge dafür. Und Proxy-Benutzer schicken dann den FQDN in ihrer Anfrage, da ihnen ja eine Namensauflösung, selbst wenn sie eine versucht haben, nicht gelungen ist.

Je nachdem, welche Clients du benutzen würdest, kann es sein, daß man bei denen auch direkt konfigurieren kann, ob sie selbst eine DNS-Auflösung versuchen sollen oder die Auflösung immer dem Socks-Server überlassen sollen. Aber ich weiß aus eigener Erfahrung, daß man das oft nicht konfigurieren kann und daß das Auflösungsverhalten dann etwas unberechenbar sein kann.


Ach, und der Standardport für Socks ist 1080.

[phixom]

Es wird langsam Zeit das endlich IPv6 eingeführt wird, dann hätten wir genau solche Probleme nicht mehr.
Ich warte auch schon sehnsüchtig darauf mehrere IP's besitzen zu dürfen.

phixom