= Сообщение: 4529 из 10763 ===================================== RU.UNIX.BSD = От : Valentin Davydov 2:5020/400 21 Sep 16 10:02:14 Кому : Eugene Grosbein 21 Sep 16 10:02:14 Тема : Re: Https сервер в локалке - доступ извне и из локалки по одному адрес FGHI : area://RU.UNIX.BSD?msgid=<1187506008@ddt.demos.su>+058ebfa3 На : area://RU.UNIX.BSD?msgid=grosbein.net+c4eb88c9 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Valentin Davydov <sp@m.davydov.spb.su> Subject: Re: Https сервер в локалке - доступ извне и из локалки по одному адрес
> From: Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> > Date: Wed, 21 Sep 2016 13:23:38 +0300 > > VS> Это хороший способ, однако почему-то в Интернете много людей, которые > VS> всеми > VS> силами стараются сделать именно hairpin средствами NAT. > >Hепуганные потому что. > > EG>> Второй вариант, менее предпочтительный - запустить на FreeBSD любой > EG>> баунсер TCP-коннектов и заворачивать на него запросы изнутри локалки. > EG>> Hапример, net/bounce: > VS> Hу а в этом случае IMHO в логах веб-сервера не будут видны IP адреса > VS> компов из > VS> локалки. > >Это в любом случае будет так, включая двойной NAT. Для компов локалки часто >это неважно. > > VS> Чем такой bounce, может лучше уж тогда обратный прокси на firewall, > VS> например > VS> nginx. > >Городить целый обратный прокси ради одного X-Forwarded-For? >Можно, если очень нужно, но баунсер проще :-)
А роутить пакеты, не поднимаясь выше уровня icmp - ещё проще (да и дешевле: от DDOS атаки сдохнет только сабж, а роутеру пофиг).