NAT по content
Добавлено: 28 окт 2018, 04:23
Ох и давно же меня не было тут.. а я всё ещё почему-то модератор 
Всем Привет
Собственно ситуация: Есть один внешний канал и соответственно один внешний IP. Есть HTTP сервер, два. Оба работают на 80 порту (именно http а не https). Один рабочий, другой используется для Callback API некоторых ресурсов. Первый сервер де факто должен быть на 80 порту, ибо это публичный сервер, а второй... те ресурсы не умеют отправлять callback запросы если указан порт, т.е. опять только 80 порт. И мы приходим к проблеме NAT'а по одинаковым входным параметрам, т.е, условно:
46.150.xxx.xxx:80 ( host site1.ru ) -> NAT -> 10.0.0.10:80
46.150.xxx.xxx:80 ( host site2.ru ) -> NAT -> 10.0.0.20:80
Первое что приходит в голову это поле Content в firewall (content="Host: site2.ru"), но подумав 3 секунды прекращаем добавлять это правило, т.к. NAT работает на этапах SYN и до доменских имен далеко. После этого начинаем тупить и идеи заканчиваются.
Собственно есть у кого идеи на счёт этого повода?
PS> На данный момент частично решил проблему указанием пула IP адресов откуда приходят callback запросы (src-addr), но это очень сильный костыль, т.к это решение крайне не стабильное.
Всем Привет
Собственно ситуация: Есть один внешний канал и соответственно один внешний IP. Есть HTTP сервер, два. Оба работают на 80 порту (именно http а не https). Один рабочий, другой используется для Callback API некоторых ресурсов. Первый сервер де факто должен быть на 80 порту, ибо это публичный сервер, а второй... те ресурсы не умеют отправлять callback запросы если указан порт, т.е. опять только 80 порт. И мы приходим к проблеме NAT'а по одинаковым входным параметрам, т.е, условно:
46.150.xxx.xxx:80 ( host site1.ru ) -> NAT -> 10.0.0.10:80
46.150.xxx.xxx:80 ( host site2.ru ) -> NAT -> 10.0.0.20:80
Первое что приходит в голову это поле Content в firewall (content="Host: site2.ru"), но подумав 3 секунды прекращаем добавлять это правило, т.к. NAT работает на этапах SYN и до доменских имен далеко. После этого начинаем тупить и идеи заканчиваются.
Собственно есть у кого идеи на счёт этого повода?
PS> На данный момент частично решил проблему указанием пула IP адресов откуда приходят callback запросы (src-addr), но это очень сильный костыль, т.к это решение крайне не стабильное.