[CISCO] redirection trafic HTTP selon les URL
Résolu
yoyomaster
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
schuma972 -
schuma972 -
Bonjour,
Est-ce que quelqu'un aurait une idée pour pouvoir faire du load-balancing "light" avec un routeur CISCO d'entrée de gamme (je dispose d'un cisco 877 et d'aucun load-balancer matériel) ?
En fait, je voudrais faire pointer des URL sur des groupes de serveurs.
Mon idée de départ était d'avoir plusieurs entrées DNS et pour chaque entrée DNS, je pensais mettre plusieurs serveurs, chacun pourvu d'une adresse IP pulbique, en Round-Robin pour faire ma répartition de charge.
Actuellement, je suis en train de réfléchir un moyen de reproduire ce fonctionnement en TEST avec :
- un routeur CISCO 877
- une seule IP publique (donc mes 3 entrées DNS pointeront sur cette IP)
- pas de serveur intermédiaire entre le routeur et les serveurs de TEST
- 2 ou 3 serveurs sur le LAN
J'essaie donc actuellement de trouver une astuce au niveau du routeur pour que de l'extérieur, en attaquant une seule IP publique, je puisse rediriger le trafic HTTP sur des serveurs différents en fonction de l'URL (serviceA.xyz.com ou serviceB.xyz.com par exemple) qui est demandée.
J'ai bien vu qu'il existait des commandes spéciales SLB au niveau de l'IOS 12.4T, mais elles ne me sont pas disponibles malgré que je dispose d'un IOS 12.4(11)T Advanced Ip Services.
Il doit falloir un équipement équipé d'une carte spéciale pour cela (type 6500 series d'après ce que j'ai cru lire).
J'ai fait quelques recherches et j'ai pas encore trouvé mon bonheur.
J'ai pensé à :
- utiliser le routeur en mode serveur DNS mais même si j'arrive à résoudre un nom de domaine en IP interne, cela ne lui fait pas faire de translation automatique (actuellement j'arrive à faire en sorte qu'une requête DNS externe en stipulant le routeur comme serveur DNS me donne l'adresse privée du serveur à attaquer...c'est pas terrible niveau sécurité, mais il ne s'agit que d'un test pour le moment)
- faire du NAT statique des requêtes HTTP, mais je ne trouve pas de moyen de faire de la translation d'une URL demandée en IP d'un serveur LAN...tout ce que j'arrive à faire pour le moment c'est de rediriger une adresse IP externe source attaquant un port sur une adresse IP interne et un port spécifique).
L'idéal serait de réussir à faire en sorte qu'à partir d'une URL demandée, le routeur fasse une requête à son DNS interne et créer un NAT dynamique de l'adresse IP source ayant fait la requête vers le bon serveur (serveur choisi selon le principe de Round-Robin DNS).
J'ai vu que le NAT dynamique était possible, mais je n'ai pas encore trouvé le moyen de le mettre en oeuvre, et encore moins selon le principe exposé ci-dessus.
J'ai sinon une dernière piste au niveau des commandes WCCP...je me demande si je ne peux pas détourner la finalité des fonctions de cache proxy, une idée là-dessus ?
En gros, est-ce que quelqu'un aurait une idée magique outre que de me dire d'utiliser des serveurs intermédiaires (sous LINUX par exemple) pour faire ça ?
Je voudrais éviter cette solution car elle s'éloigne de ce que je compte faire au final en PRODUCTION.
Merci d'avance pour tout aide que vous pourriez m'apporter.
Est-ce que quelqu'un aurait une idée pour pouvoir faire du load-balancing "light" avec un routeur CISCO d'entrée de gamme (je dispose d'un cisco 877 et d'aucun load-balancer matériel) ?
En fait, je voudrais faire pointer des URL sur des groupes de serveurs.
Mon idée de départ était d'avoir plusieurs entrées DNS et pour chaque entrée DNS, je pensais mettre plusieurs serveurs, chacun pourvu d'une adresse IP pulbique, en Round-Robin pour faire ma répartition de charge.
Actuellement, je suis en train de réfléchir un moyen de reproduire ce fonctionnement en TEST avec :
- un routeur CISCO 877
- une seule IP publique (donc mes 3 entrées DNS pointeront sur cette IP)
- pas de serveur intermédiaire entre le routeur et les serveurs de TEST
- 2 ou 3 serveurs sur le LAN
J'essaie donc actuellement de trouver une astuce au niveau du routeur pour que de l'extérieur, en attaquant une seule IP publique, je puisse rediriger le trafic HTTP sur des serveurs différents en fonction de l'URL (serviceA.xyz.com ou serviceB.xyz.com par exemple) qui est demandée.
J'ai bien vu qu'il existait des commandes spéciales SLB au niveau de l'IOS 12.4T, mais elles ne me sont pas disponibles malgré que je dispose d'un IOS 12.4(11)T Advanced Ip Services.
Il doit falloir un équipement équipé d'une carte spéciale pour cela (type 6500 series d'après ce que j'ai cru lire).
J'ai fait quelques recherches et j'ai pas encore trouvé mon bonheur.
J'ai pensé à :
- utiliser le routeur en mode serveur DNS mais même si j'arrive à résoudre un nom de domaine en IP interne, cela ne lui fait pas faire de translation automatique (actuellement j'arrive à faire en sorte qu'une requête DNS externe en stipulant le routeur comme serveur DNS me donne l'adresse privée du serveur à attaquer...c'est pas terrible niveau sécurité, mais il ne s'agit que d'un test pour le moment)
- faire du NAT statique des requêtes HTTP, mais je ne trouve pas de moyen de faire de la translation d'une URL demandée en IP d'un serveur LAN...tout ce que j'arrive à faire pour le moment c'est de rediriger une adresse IP externe source attaquant un port sur une adresse IP interne et un port spécifique).
L'idéal serait de réussir à faire en sorte qu'à partir d'une URL demandée, le routeur fasse une requête à son DNS interne et créer un NAT dynamique de l'adresse IP source ayant fait la requête vers le bon serveur (serveur choisi selon le principe de Round-Robin DNS).
J'ai vu que le NAT dynamique était possible, mais je n'ai pas encore trouvé le moyen de le mettre en oeuvre, et encore moins selon le principe exposé ci-dessus.
J'ai sinon une dernière piste au niveau des commandes WCCP...je me demande si je ne peux pas détourner la finalité des fonctions de cache proxy, une idée là-dessus ?
En gros, est-ce que quelqu'un aurait une idée magique outre que de me dire d'utiliser des serveurs intermédiaires (sous LINUX par exemple) pour faire ça ?
Je voudrais éviter cette solution car elle s'éloigne de ce que je compte faire au final en PRODUCTION.
Merci d'avance pour tout aide que vous pourriez m'apporter.
A voir également:
- Redirection de port cisco
- Port icmp - Forum Réseau
- Avertissement de redirection ✓ - Forum Réseaux sociaux
- Advanced port scanner - Télécharger - Utilitaires
- Cisco leap module - Forum Virus
- Port usb bloqué par administrateur ✓ - Forum Windows
13 réponses
Désolé j'étais pourtant sur de l'avoir éffacer
j'ai du envoyé l'autre fichié de config donc je renvoi le bon
sh run
Building configuration...
Current configuration : 2283 bytes
!
! Last configuration change at 16:40:10 UTC Sun Oct 7 2007
! NVRAM config last updated at 16:03:39 UTC Sun Oct 7 2007
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
ip address 192.168.2.252 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
ip nat outside
ip virtual-reassembly
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Vlan1
no ip address
!
interface Dialer1
ip address
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname
!ppp chap password
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.2.0 255.255.255.0 fastEthernet0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.2.50 20 xx.xx.xx.xx 20 extendable
ip nat inside source static tcp 192.168.2.50 21 xx.xx.xx.xx. 21 extendable
ip nat inside source static tcp 192.168.2.8 80 xx.xx.xx.xx 80 extendable
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
login local
length 0
line aux 0
line vty 0
login local
line vty 1 4
login
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
voila celle que je devai envoyé
j'ai du envoyé l'autre fichié de config donc je renvoi le bon
sh run
Building configuration...
Current configuration : 2283 bytes
!
! Last configuration change at 16:40:10 UTC Sun Oct 7 2007
! NVRAM config last updated at 16:03:39 UTC Sun Oct 7 2007
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
ip address 192.168.2.252 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
ip nat outside
ip virtual-reassembly
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Vlan1
no ip address
!
interface Dialer1
ip address
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname
!ppp chap password
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.2.0 255.255.255.0 fastEthernet0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.2.50 20 xx.xx.xx.xx 20 extendable
ip nat inside source static tcp 192.168.2.50 21 xx.xx.xx.xx. 21 extendable
ip nat inside source static tcp 192.168.2.8 80 xx.xx.xx.xx 80 extendable
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
login local
length 0
line aux 0
line vty 0
login local
line vty 1 4
login
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
voila celle que je devai envoyé
salut,
les fonctionnalités que tu indiques sont réalisées sur de coûteux switchs L7 en principe, pas sur un routeur entrée de gamme (même s'il a des fonctions firewall) il ne faut pas trop en demander tout de m^me .
les fonctionnalités que tu indiques sont réalisées sur de coûteux switchs L7 en principe, pas sur un routeur entrée de gamme (même s'il a des fonctions firewall) il ne faut pas trop en demander tout de m^me .
Bonjour,
Merci pour la réponse.
Je sais qu'il existe des équipements couteux pour ça, mais j'avais tout de même un secret espoir de pouvoir ruser avec du matériel d'entrée de gamme...notamment avec la notion de NAT dynamique et l'utilisation d'un DNS interne.
Mais bon, je vais devoir faire autrement.
Merci tout de même.
Merci pour la réponse.
Je sais qu'il existe des équipements couteux pour ça, mais j'avais tout de même un secret espoir de pouvoir ruser avec du matériel d'entrée de gamme...notamment avec la notion de NAT dynamique et l'utilisation d'un DNS interne.
Mais bon, je vais devoir faire autrement.
Merci tout de même.
Bonjour,
yoyomaster je me lance dans les ciscos et je viens juste de finir ma formation de technicien en réseau et télécommunication d'entreprise et on a survolé le cisco moi mon proble actuel est que g un client qui a un cisco depuis 6 mois et personne n'arrive a le configurer( 1801 )
j'ai reussi a le faire ce connecté au net mais a présent il veux faire du port mapping pour un serveur ftp net un serveur web et g vu que tu as dit que tu a reussi à redirectionné les adresses externes pour pointé sur un pc interne donc si tu pouvai me venir en aide ce serai sympa merci d'avane.
yoyomaster je me lance dans les ciscos et je viens juste de finir ma formation de technicien en réseau et télécommunication d'entreprise et on a survolé le cisco moi mon proble actuel est que g un client qui a un cisco depuis 6 mois et personne n'arrive a le configurer( 1801 )
j'ai reussi a le faire ce connecté au net mais a présent il veux faire du port mapping pour un serveur ftp net un serveur web et g vu que tu as dit que tu a reussi à redirectionné les adresses externes pour pointé sur un pc interne donc si tu pouvai me venir en aide ce serai sympa merci d'avane.
Salut,
Je pense que tu peux réaliser ça en redirigeant le port 80 vers un de tes serveurs, et en installant le service DNS sur ce serveur la. Ensuite, tu fais des redirections DNS sur ce serveur vers les URL que tu veux. Si les sites sont en local (serveurs IIS), tu dois changer le host header des sites pour les faire correspond à ta DNS dynamique (si tu utilise ...)
@+
Altec
Je pense que tu peux réaliser ça en redirigeant le port 80 vers un de tes serveurs, et en installant le service DNS sur ce serveur la. Ensuite, tu fais des redirections DNS sur ce serveur vers les URL que tu veux. Si les sites sont en local (serveurs IIS), tu dois changer le host header des sites pour les faire correspond à ta DNS dynamique (si tu utilise ...)
@+
Altec
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
[quote]L'idéal serait de réussir à faire en sorte qu'à partir d'une URL demandée, le routeur fasse une requête à son DNS interne et créer un NAT dynamique de l'adresse IP source ayant fait la requête vers le bon serveur (serveur choisi selon le principe de Round-Robin DNS).
[/quote]
Dans ce cas, tu peux substituer un serveur DNS dédié au lieu d'un DNS dans ton routeur, en redirigeant une DMZ vers ce serveur dédié .......
[/quote]
Dans ce cas, tu peux substituer un serveur DNS dédié au lieu d'un DNS dans ton routeur, en redirigeant une DMZ vers ce serveur dédié .......
schuma972,
j'ai effacé ton message, car il apporte un gros risque d'intrusion sur le routeur en question .
stp, ne poste pas la configuration en entier ou masque les adresses ip publiques .
j'ai effacé ton message, car il apporte un gros risque d'intrusion sur le routeur en question .
stp, ne poste pas la configuration en entier ou masque les adresses ip publiques .
pour le: ip mtu 1492 je le savai pas merci pour l'info
pour : ip route 192.168.2.0 255.255.255.0 fastEthernet0
je c'est que ca ne sert a rien mais j'ai essayé pour voir quand meme si ca me permettais de faire fonctionner.
ben le probleme c'est que depuis l'extérieur je n'accede pas au serveur ftp pour le site web il est en construction pour le moment ce n'est pas moi ki m'occupe de cette parti moi je dois juste préparer le cisco pour que le serveur ftp et web passe et qu il surf.
pour : ip route 192.168.2.0 255.255.255.0 fastEthernet0
je c'est que ca ne sert a rien mais j'ai essayé pour voir quand meme si ca me permettais de faire fonctionner.
ben le probleme c'est que depuis l'extérieur je n'accede pas au serveur ftp pour le site web il est en construction pour le moment ce n'est pas moi ki m'occupe de cette parti moi je dois juste préparer le cisco pour que le serveur ftp et web passe et qu il surf.
le serveur 2.50 n'est pas connecté ?
donc, tu ne peux pas tester ?
le serveur http 2.8 est accessible depuis l'extérieur ?
pourquoi dis tu que ça ne fonctionne pas ?
donc, tu ne peux pas tester ?
le serveur http 2.8 est accessible depuis l'extérieur ?
pourquoi dis tu que ça ne fonctionne pas ?
si le 2.50 est connecté en interne ca fonctionne bien mais dès que j'essai de l'exterieur ca fonctionne pas
et la je suis parti avec le routeur chez moi pour faire mon fichier de conf et mes testes donc g installé sur mon serveur un serveur ftp
et ca ne passe pas que ce soit en tapant l'@ip fix ou le nom DNS dans filezila et avec l'@ip interne ca fonctionne bien
et la je suis parti avec le routeur chez moi pour faire mon fichier de conf et mes testes donc g installé sur mon serveur un serveur ftp
et ca ne passe pas que ce soit en tapant l'@ip fix ou le nom DNS dans filezila et avec l'@ip interne ca fonctionne bien
j'ai refai un fichier conf avec mes identifiant mon adresse ip et je teste depui chez ma grand mere ki habite a deux pas
chez ta grand mère ....
houla, fais gaffe au loup :-))
mais ... l'adresse ip wan (sur l'interface dialer) ne peut pas être la même , tu la changes donc ? dans la table forwarding nat aussi ?
si tu mettais plutôt l'interface qu'une adresse:
ip nat inside source static tcp 192.168.2.50 21 interface dialer1 21
sinon,
ensuite, qu'est ce qui se passe au niveau du protocole ftp ? est-ce que la connexion commande s'établit (demande username ) ?
houla, fais gaffe au loup :-))
mais ... l'adresse ip wan (sur l'interface dialer) ne peut pas être la même , tu la changes donc ? dans la table forwarding nat aussi ?
si tu mettais plutôt l'interface qu'une adresse:
ip nat inside source static tcp 192.168.2.50 21 interface dialer1 21
sinon,
ensuite, qu'est ce qui se passe au niveau du protocole ftp ? est-ce que la connexion commande s'établit (demande username ) ?
oui j'ai fait tout ca mais par contre on m'avais dit et je trouvai ca louche quand meme que la bonne phrase c'etait
ip nat inside source static tcp 192.168.2.50 21 interface fastethernet 0 21
et depui un moment ca me demange de tester avec dialer1 21 pour voir merci je vais essayer et je te tiens informé.
encore merci..
ip nat inside source static tcp 192.168.2.50 21 interface fastethernet 0 21
et depui un moment ca me demange de tester avec dialer1 21 pour voir merci je vais essayer et je te tiens informé.
encore merci..
Bonjour,
alors je viens au info j'ai testé avec ip nat inside source static tcp ....... interface DIALER1 et c amarche enfin ca fonctionne super bien apres plusieur heures de teste j'ai pu allé livré le matériels et le clients etai super content car il ma dit que ca fait 9mois qu il avait le cisco et qu il pensai le jetter pour acheter un neuf car pour lui c'etait le cisco qui merdait car personne n'avais reussi a le configurer ne serait ce que pour surfer.
donc encore une fois un grand merci car j'ai pu approfondir mes connaissances et cela me motive encore plus pour faire une certification cisco, aller ciao @+
Mickaël de madinina...
alors je viens au info j'ai testé avec ip nat inside source static tcp ....... interface DIALER1 et c amarche enfin ca fonctionne super bien apres plusieur heures de teste j'ai pu allé livré le matériels et le clients etai super content car il ma dit que ca fait 9mois qu il avait le cisco et qu il pensai le jetter pour acheter un neuf car pour lui c'etait le cisco qui merdait car personne n'avais reussi a le configurer ne serait ce que pour surfer.
donc encore une fois un grand merci car j'ai pu approfondir mes connaissances et cela me motive encore plus pour faire une certification cisco, aller ciao @+
Mickaël de madinina...
Bonjour,
merci pour ton soutiens ca me fai tres plaisir, et pour les règles de sécurité si tu as envi de m'apprendre 2 ou 3 truc moi je suis preneur
car je m interresse de + en + a cette univers qui est Cisco donc surtt ne te gène pas je te laisse mon email si tu vx c le:
mickael_canton@hotmail.com
et encore merci
merci pour ton soutiens ca me fai tres plaisir, et pour les règles de sécurité si tu as envi de m'apprendre 2 ou 3 truc moi je suis preneur
car je m interresse de + en + a cette univers qui est Cisco donc surtt ne te gène pas je te laisse mon email si tu vx c le:
mickael_canton@hotmail.com
et encore merci
déjà:
interface FastEthernet0
ip address 192.168.2.252 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
pas besoin de modifier la mtu sur le réseau local, le pppoe est sur l'interface atm (ou plutôt c'est dialer 1qui passe en pppoe) , pas sur le lan .
ça aussi : ip route 192.168.2.0 255.255.255.0 fastEthernet0
ça ne sert à rien, le réseau 192.168.2.0/24 est relié directement .
sinon,
la configuration nat a l'air correcte ... le problème est sur quoi sur ftp ou sur http ?