NAT для входящего трафика

Обсуждение ПО и его настройки
Ответить
dan_litvinov
Сообщения: 7
Зарегистрирован: 21 сен 2017, 18:31
Откуда: SPb

Вечер добрый.
Вопрос от меня, как обычно, нестандартный.

Кратко:
текущая схема
клиенты на www.ru -> Роутер с белым ip:80->прокси Микротика 192.168.1.6:8080->кеширующий прокси 192.168.1.181:8080->web-сервер

Хочу отключить проксю Микротика, но кеширующему нельзя видеть внешние адреса клиентов.
Вопрос-как сделать NAT внешних адресов во внутренние,
т.е. так, чтобы кеширующий прокси 192.168.1.181:8080 видел
не внешние адреса клиентов, а внутренний Микротика?

Технические подробности (на всякий случай).
Есть домен в зоне ru, направленный на мой ip. Есть сайт с большой нагрузкой-от 100 до 2000 посетителей одновременно.
Сайт на joomla-много мелких файлов css,js и прочих картинок.
Если направить напрямую, то сервер ложится-запускает кучу апачей и сжирает всю память и проц.
Что придумал - закешировал в прокси статичные файлы и по правилам отдаю их только из кеша.
Запросы на динамичные страницы отправляются прямо на сервер.
Нагрузка здорово снизилась - в десятки раз.
Но засада в том, что кеширующий прокси использует авторизацию по ip. Блин.
Какое отношение это все к Микротику?

Микротик принимает соединения.
Если отправляю их сразу в кеширующий прокси, то тот видит неизвестные ему ip пользователей и ничего им не дает, кроме запроса авторизации.
Сейчас направляю запросы на 80 порт на внутренний прокси Микротика, а с него через parent proxy в кеширующий.
Все работает, но проц Микротика rb2011uias-2hnd-in загружен 95-100%
при 600-800 входящих соединений.
Сейчас картинка входящего трафика буквами:
клиенты на www.ru -> Роутер с белым ip:80->прокси Микротика 192.168.1.6:8080->кеширующий прокси 192.168.1.181:8080->web-сервер

Понимаю, что NAT ему легче сделать, чем гонять это все через свою проксю.
Вопрос-как сделать NAT внешних адресов во внутренние,
т.е. так, чтобы кеширующий прокси 192.168.1.181:8080 видел
не внешние адреса клиентов, а внутренний Микротика?

Возможно, путанно объясняю-всю голову себе сломал, но пока реализовать не получилось.
Буду благодарен за направление, куда копать.


---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
dan_litvinov
Сообщения: 7
Зарегистрирован: 21 сен 2017, 18:31
Откуда: SPb

Попробовал разные правила - трафик не проходит.
Затестил

add action=accept chain=input dst-address=192.168.1.6 dst-port=8080 protocol=tcp
add action=accept chain=output dst-address=192.168.1.181 dst-port=8080 protocol=tcp
add action=accept chain=forward dst-address=192.168.1.181 dst-port=8080 protocol=tcp

add action=dst-nat chain=dstnat dst-address=192.168.1.6 dst-port=81 log=yes \
log-prefix=nat_ protocol=tcp to-addresses=192.168.1.181 to-ports=8080

Все равно трафик не идет.


---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
dan_litvinov
Сообщения: 7
Зарегистрирован: 21 сен 2017, 18:31
Откуда: SPb

Решил вопрос установкой nginx'a. Всем спасибо за прочтение моего вчерашнего буквопомешательства.
PS nginx-весчь. Реально разобрал весь поток клиентов, сам определился с кешированием-только исключения ему добавил и все.
Хотя микротик тоже крут-2011 держал несколько суток по 600-800 клиентских подключений на своей проксе.
Теперь схема попроще:
клиенты на http://www.ru -> Роутер с белым ip:80-> ngnix ->web-сервер
В общем, всем спокойного вечера.


---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
Ответить