iptables 域名轉(zhuǎn)向

chenyx

試試nginx做前端

wendaozhe

原帖由 劍次狼 于 2008-11-14 10:39 發(fā)表
手上現(xiàn)在沒測試環(huán)境，你可以試試這樣可以不
-A PREROUTING -m string --algo bm --string "www.demo1.com" -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.111
-A PREROUTING -m string --al ...

經(jīng)測試無效。

wendaozhe

原帖由 chenyx 于 2009-1-14 10:01 發(fā)表
試試nginx做前端

就是想在iptables、tc、squid、中解決，squid太復(fù)雜，得用rewrite url ，幻想不增加服務(wù)的情況下的簡單解決方法。

wendaozhe

原帖由 kns1024wh 于 2008-11-14 14:11 發(fā)表
打上標記也是可以的
通過防火墻的訪問標記，指定路由信息更加的合理

肯定是不行的，iptables只認ip，最終不同的域名還是會解析到同一個ip！

wendaozhe

看來是無解了，只有仰仗nginx、varnish等來解決了！

platinum

目前的 iptables 是無法實現(xiàn)的
因為 iptables 工作在網(wǎng)絡(luò)層，他看到的僅僅是數(shù)據(jù)包
domain 存放在兩種數(shù)據(jù)包中
1、DNS 請求的 udp 包
2、HTTP 請求頭部的 host 字段

對于 1 來說，我們得不到它，因為 DNS 請求是去放用戶設(shè)置的 DNS 地址的，而且即便獲得到了也做不了什么
對于 2 來說，我們雖然可以獲得 host 字段具體域名，但如果在獲得后再轉(zhuǎn)向的話，前面的 connection 已經(jīng)建立了，后面突然轉(zhuǎn)向就未被了 TCP 工作原理，理論上是無法實現(xiàn)的

但是，利用 squid 或者 nginx 卻是可以實現(xiàn)的，他們相當于七層代理，完全把 HTTP 請求截獲，換成新的請求發(fā)向內(nèi)網(wǎng)，得到信息再回傳給客戶，這樣可行

至于前面有人說的 mark、tc 等，都是理論上行不通的，違反了 OSI 七層模型中 TCP 傳輸原理

wendaozhe

十分感謝，講得很透！

gamester88

拓撲
                                  ISP  221.11.1.67
                                    |                                              /192.168.1.254
                                    |              10.0.0.2543           /
         221.11.1.68     路由器       -----------           防火墻   -------------交換機
                                     10.0.0.254                                       |
                                                                              www服務(wù)器 192.168.1.253
                                                                               mail服務(wù)器 192.168.1.250


白金版主，我今天也是要做這個

1. /sbin/iptables -t nat -A PREROUTING -d www.nihao.com -p tcp -dport 80 -j DNAT --to 192.168.1.253
   
2. /sbin/iptables -t nat -A PREROUTING -d mail.nihao.com -p tcp -dport 80 -j DNAT --to 192.168.1.250

復(fù)制代碼

第一種情況：
也就是說DNS解析的時候
www.nihao.com 為   221.11.1.68
mail.nihao.com也為   221.11.1.68
的話，需要加nginx來做代理，從外網(wǎng)可以訪問這兩個，是吧

第二種情況：
DNS解析的時候
www.nihao.com 為 221.11.1.68
mail.nihao.com   為221.11.1.69
的時候,外網(wǎng)直接就可以訪問了是吧

[ 本帖最后由 gamester88 于 2009-10-12 13:47 編輯 ]

bigarade

這個起虛擬主機可行不？

gamester88

我這個是兩個外網(wǎng)的地址
在路由器上做了221.11.1.68和221.11.1.69的80端口映射到10.0.0.253上的80和8080了，然后在防火墻上

1. # iptables -t nat -A PREROUTING -d mail.nihao.com -p tcp -dport 80 -j DNAT --to 192.168.1.253
   
2. iptables v1.4.3: multiple -d flags not allowed
   
3. Try `iptables -h' or 'iptables --help' for more information.

復(fù)制代碼

報錯，于是
iptables -t nat -A PREROUTING -d 10.0.0.253 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.253
iptables -t nat -A PREROUTING -d 10.0.0.253 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.250:80
這樣在外網(wǎng)輸入兩個域名都可以了

問老大還有別的簡潔辦法沒