» Коммуникации>Доступ извне к виртуальному www серверу на базе vmware workstation 6
ERYO 22:56 13.10.2008
Уважаемые знатоки, вопрос.
А как организовать доступ извне, если имеем следующее:
Сеть с хоста на виртуалки - NAT Bridged.
Имеется ВМ (виртуальная машина) сервер2003, поднял IIS, в настройках указал папку с содержимым, IP адрес и порт сего (локальные, а правильно ли?) к примеру 192.168.1.200:8080. Далее делаю проброс порта в модеме извне с 80 на 8080 на этот IP.
Не работает.
Пробовал и другие порты назначать - результат тот же.
На хост-ОС, то есть на реальной машине набираю http://192.168.1.200 открывается страничка - все отлично.
Поидее должно же работать, такой сервис оно поддерживает. Куда копать?
З,Ы, ну да, надо мне оно. и для себя на будущее и сейчас одну вещь тестировать, не трогая свою ОС
ERYO 19:13 14.10.2008
есть доводы?
][irurg 20:54 14.10.2008
предположу что дело в том как подключаешься снаружи..
Сообщение от ERYO:
Далее делаю проброс порта в модеме извне с 80 на 8080 на этот IP.
Не работает.
расскажи подробнее как подключался к серверу. какую ошибку выдает? есть что в логах
mikе 21:08 14.10.2008
а мопед-то из виртуала пингуется?
ERYO 22:35 14.10.2008
mikе, конечно
но даже если и не пингуется (пробовал через virtual NAT, все тоже самое) ][irurg, ща скринов положу
короче попорядочку.
логи в момент проб извне
Сообщение от :
Oct 14 23:17:05 user alert kernel: Intrusion -> IN=ppp_10_40_1 OUT= MAC= SRC=93.80.113.85 DST=77.45.226.201 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=15432 DF PROTO=TCP SPT=1800 DPT=32459 WINDOW=65535 RES=0x00 SYN URGP=0
Oct 14 23:17:08 user alert kernel: Intrusion -> IN=ppp_10_40_1 OUT= MAC= SRC=93.80.113.85 DST=77.45.226.201 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=16877 DF PROTO=TCP SPT=1800 DPT=32459 WINDOW=65535 RES=0x00 SYN URGP=0
Oct 14 23:17:14 user alert kernel: Intrusion -> IN=ppp_10_40_1 OUT= MAC= SRC=93.80.113.85 DST=77.45.226.201 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=19041 DF PROTO=TCP SPT=1800 DPT=32459 WINDOW=65535 RES=0x00 SYN URGP=0
Oct 14 23:18:46 user alert kernel: Intrusion -> IN=ppp_10_40_1 OUT= MAC= SRC=77.45.137.129 DST=77.45.226.201 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=26554 DF PROTO=TCP SPT=24812 DPT=22819 WINDOW=65535 RES=0x00 SYN URGP=0
Oct 14 23:18:49 user alert kernel: Intrusion -> IN=ppp_10_40_1 OUT= MAC= SRC=77.45.137.129 DST=77.45.226.201 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=26804 DF PROTO=TCP SPT=24812 DPT=22819 WINDOW=65535 RES=0x00 SYN URGP=0
...50 - сервер
...51 - ХРшка
виртуальные, пингуес с хоста, то есть реального компа..... 100, модем, .... 99, пингуется естественно тоже с обоих виртуальных
1-на скрине проброс порта и пинги виртуалок с машины реальной
2-локально с хост машины показывает сайт
3-извне НЕТ
4- выбран режим бридж
просто пробовал разные варианты, топчуст на месте, локально показывает в любом раскладе, извне нет.
пробовал nat vmware - нифига, и пробовал проброс на реальный ip машины моей, а дальше nat vm форвардит на ip сервака - никак короче
мануал качнул, он сцуко 470стр и нет там живого примера с web сервером
может мопед чё тупит? я уж не знаю
если локально с реальной машины работает, открывает сайт, значит логично предположить что во всех вариантах настройки в vmware я делал правильные.
Изображения
gene 02:49 15.10.2008
Сообщение от ERYO:
... IP адрес и порт сего (локальные, а правильно ли?) к примеру 192.168.1.200:8080. Далее делаю проброс порта в модеме извне с 80 на 8080 на этот IP.
...На хост-ОС, то есть на реальной машине набираю http://192.168.1.200 открывается страничка - все отлично.
Вот этого быть не может, тщательнее надо.
А начать надо с отключения пакетника в профиле - он блокирует 80 порт.
ERYO 08:07 15.10.2008
Сообщение от gene:
Вот этого быть не может, тщательнее надо.
забейте на первый пост, тот вариант содержал косяки.
со скринами я написал как и где и что, давайте отталкиваться от этого.
а вот про пакетник совсем забыл! стоит блокировать только потенциально опасный трафик.
][irurg 08:37 15.10.2008
ERYO, по третьему скрину поясни - ты со своего компа пытался зайти на сервер по внешнему адресу модема?
логи - это логи модема, а логи самого веб сервера ? он фиксирует соединение?
ERYO 08:53 15.10.2008
Сообщение от ][irurg:
ERYO, по третьему скрину поясни - ты со своего компа пытался зайти на сервер по внешнему адресу модема?
да, но и так же пробовал другой человек - результат нулевой
Сообщение от ][irurg:
логи - это логи модема, а логи самого веб сервера ? он фиксирует соединение?
да, логи модема
сервера логи не глядел, на скорую руку не увидел где там оно
][irurg 09:00 15.10.2008
Сообщение от ERYO:
сервера логи не глядел, на скорую руку не увидел где там оно
проверь, включен ли журнал. смутно помню что там где то еще были настройки по правам доступа .. похоже от чтения мануалов тебе не отвертеться все таки )
советовал бы еще проверить есть ли доступ извне к ресурсам ВМ в принципе. поставил бы что нибуль простое - например фтп сервер, или пинги на нее перенаправил и попробовал подключится извне. хотя бы определится в чем беда - модем, вм, сервер, а то много неизвестных
ERYO 09:59 15.10.2008
Сообщение от ][irurg:
проверь, включен ли журнал. смутно помню что там где то еще были настройки по правам доступа .. похоже от чтения мануалов тебе не отвертеться все таки )
права доступа назначил всем как "разрешено", проверял локально, ставил ip машины в исключения при запрете - все работает как надо.
тут как мне кажется что то не так с маршрутизацией на ВМ от модема.
вечером попробую отключить пакетник вообще и тогда попробовать.
Сообщение от ][irurg:
советовал бы еще проверить есть ли доступ извне к ресурсам ВМ в принципе. поставил бы что нибуль простое - например фтп сервер,
впринципе что www, что ftp, какая разница? порты только разные.
ERYO 12:02 15.10.2008
Кстати че вспомнил, извне когда стучишься на ip который модему присваевается по 80 порту глухо.
Если по 8080, открывает web-интерфейс модема. Может правда только лишь пакетник виноват и глушит 80 порт?
][irurg 12:05 15.10.2008
Сообщение от ERYO:
www, что ftp, какая разница? порты только разные.
просто если ранее не устанвавливал ису есть вероятность что пропустил что то. отсюда и совет -прежде чем проверять новое - убедится в работоспособности старого известного. но мое дело советы набросать а ты уже решай что выбрать.
но скорее всего ты прав и проблема с доставкой пакетов на ВМ, ничего там в исе хитрого нет.
можно кстати попросить порты у тебя проверить снаружи кого нить, все ли верно, открыт ли 80.
][irurg 12:07 15.10.2008
Сообщение от ERYO:
Может правда только лишь пакетник виноват и глушит 80 порт?
файрволлы тоже не забудь проверить. кстати - в вм варе вроде есть отдельный пункт - порт форвадинг - возможно нужно дополнительно еще там пробросить
gene 13:56 15.10.2008
Сообщение от ERYO:
...
Если по 8080, открывает web-интерфейс модема. ...
так значит у тебя все работает и есть доступ, а про порты какие где у тебя выставлены сам не помнишь.Надо перевести модем в режим рутера и настроить NAT SUA ONLY на проброс порта 8080 на порт 8080 твоей виртуалки, если веб исы на него настроен . Это если опять не надо забить на какую-нибудь еще твою инфу. Вообще, замечу - задавать вопросы и самому не контролировать, что пишешь в инфе есть нехорошо.
ERYO 15:03 15.10.2008
Сообщение от ][irurg:
кстати - в вм варе вроде есть отдельный пункт - порт форвадинг - возможно нужно дополнительно еще там пробросить
есть такой пункт но используется не для бриджовой сетки а для VirtualNAT, совместимой с ip хоста.
Сообщение от gene:
так значит у тебя все работает и есть доступ, а про порты какие где у тебя выставлены сам не помнишь
все я помню - надо лишь внимательно читать, что я пробовал разные варианты с разными портами, весь список выкатывать смысла нет, т.к. не заработало.
Сообщение от gene:
Надо перевести модем в режим рутера и настроить NAT SUA ONLY на проброс порта 8080 на порт 8080 твоей виртуалки, если веб исы на него настроен .
да он вообще то итак в режиме роутера работает.
нет у меня такого варианта SUA ONLY - это в zyxel'ях. .
то есть, при таком правиле в НАТ, обращаясь извне по порту 8080 поидее должен попасть на ввв сервер а не на вебинтерфейс модема, так чтоли?
Сообщение от gene:
Это если опять не надо забить на какую-нибудь еще твою инфу. Вообще, замечу - задавать вопросы и самому не контролировать, что пишешь в инфе есть нехорошо
в том посте со скринами, я привел все ip адреса и порты НЫНЕ используемые, и поэтому написал чтобы на инфу из первого поста по ним не обращали внимания.
что, придираться будем?
ERYO 20:57 15.10.2008
с отключенным пакетником тоже нифига не пускает
лог с www сервера
192.168.1.100 - реальный комп
192.168.1.50 - виртуальный сервак
Сообщение от :
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-10-15 17:47:17
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2008-10-15 17:47:17 W3SVC434112589 192.168.1.50 GET /index.html - 80 - 192.168.1.50 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.N ET+CLR+1.1.4322) 200 0 0
2008-10-15 17:48:02 W3SVC434112589 192.168.1.50 GET /index.html - 80 - 192.168.1.100 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.0;+WOW64;+ SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506;+Med ia+Center+PC+5.0) 200 0 0
2008-10-15 17:48:02 W3SVC434112589 192.168.1.50 GET /favicon.ico - 80 - 192.168.1.100 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.0;+WOW64;+ SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506;+Med ia+Center+PC+5.0) 404 0 2
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-10-15 17:53:33
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2008-10-15 17:53:33 W3SVC434112589 192.168.1.50 GET /index.html - 80 - 192.168.1.100 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.0;+WOW64;+ SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506;+Med ia+Center+PC+5.0) 200 0 0
чет я уже не знаю чего ему надо
][irurg 22:14 15.10.2008
у тебя 2500 длинк? как вариант - загляни в Tool - Access Control -- Services, проверь галочку на доступ из ван к сервисам хттп
попробуй врубить в модеме дмз
поснифай трафик на ВМ
давай свой айпи посканируем порты
в логах только обмен с твоей хост машиной, ничего дает
gene 22:22 15.10.2008
Сообщение от ERYO:
что, придираться будем?
нет, ни в коем случае.
Констатируем, что ты не только д.о.л.б.о.е.б, но и ж.л.о.б.я.р.а б.ы.д.л.я.ч.и.й. Продолжай выдрачивать, лошок.
gene 22:34 15.10.2008
погорячился, сука - ж.л.о.б.е.н.о.к б.ы.д.л.я.ч.и.й. Гопота сраная, словом.
Вот теперь вроде все, сосун.
][irurg 22:55 15.10.2008
ERYO, ну не знаю что я делаю не так, у меня все работает.
не поленился поставил себе сервак и за полчаса настроил доступ к сайту.
вот лог доступа:
Сообщение от :
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2008-10-15 19:46:45 W3SVC1 192.168.1.16 GET /iisstart.htm - 80 - 72.167.99.153 Opera/9.50+(Windows+NT+5.1;+U;+en) 200 0 0
2008-10-15 19:47:47 W3SVC1 192.168.1.16 GET /iisstart.htm - 80 - 72.167.99.153 Opera/9.50+(Windows+NT+5.1;+U;+en) 200 0 0
16 - вм машина с исой
72.167.99.153 - внешний прокси через который стучался на модем
Изображения
ERYO 23:04 15.10.2008
gene, язык свой поганый держи за зубами, пока они на месте!
][irurg, тогда я и вправду не знаю в чем прикол.
][irurg 23:05 15.10.2008
личку читай и пиво готовь ) все у тебя теперь работает, а я спать..
Изображения
