:strip_exif()/u/8978/smile.gif?f=community)
Hoi,
We hebben bij ons bedrijf een ecommerce-platform draaien, welke over ongeveer een week een upgrade zal krijgen. Tijdens de upgrade willen medewerkers van het bedrijf de websites kunnen testen, maar zonder dat externe klanten erbij kunnen. De externe klanten moeten een soort van maintenance-pagina te zien krijgen.
Om de DNS-records aan te passen is volgens mij geen makkelijke optie. Onze ISP is authoritive voor de dns-records en de test-periode zal maar een paar uur duren.
Ik zat zelf te denken om het door de firewall op te laten lossen.
We hebben een Cisco ASA firewall. De servers zijn aangesloten op een DMZ-interface van de firewall. Het interne netwerk zit aangesloten op een 'inside'-interface en de verbinding naar onze isp is aangesloten op een 'outside'-interface.
De servers in de DMZ hebben externe ip-adressen (bijv 66.1.1.1 tot 66.1.1.127), er vindt hier in principe geen NATting plaats, maar omdat de firewall is geconfigureerd om default geen unNATted adressen door te laten is hiervoor een NAT opgenomen met aan beide kanten dezelfde ip-range (66.1.1.1/25 <> 66.1.1.1/25). Ik heb als test geprobeerd een NAT op de nemen zodat requests voor een dmz-adres (66.1.1.59) die op de outside interface binnenkomen worden genat naar een ander dmz-adres (66.1.1.79). Die 66.1.1.59 is dan het adres van de originele webserver en de 66.1.1.79 is van een tijdelijke server waarop de maintenance-pagina worden aangeboden. Zodra ik dit doe krijg ik een foutmelding dat dit een bestaande NAT overlapt. Logisch, want deze bestaande NAT is die van de 66.1.1.1/25 range. Het gevolg hiervan is dat dit ook niet werkt.
We hebben in de DMZ nog een Cisco CSS11501 staan voor loadbalancing. Ik heb gekeken of deze een mogelijkheid heeft om aan de hand van het source-ip een url-rewrite te doen of iets dergelijks, maar deze functionaliteit heb ik niet kunnen vinden.
Ik loop hier een beetje vast. Weet iemand een mogelijkheid om dit toch aan de gang te krijgen, misschien ook op een andere manier?
Alvast bedankt!
We hebben bij ons bedrijf een ecommerce-platform draaien, welke over ongeveer een week een upgrade zal krijgen. Tijdens de upgrade willen medewerkers van het bedrijf de websites kunnen testen, maar zonder dat externe klanten erbij kunnen. De externe klanten moeten een soort van maintenance-pagina te zien krijgen.
Om de DNS-records aan te passen is volgens mij geen makkelijke optie. Onze ISP is authoritive voor de dns-records en de test-periode zal maar een paar uur duren.
Ik zat zelf te denken om het door de firewall op te laten lossen.
We hebben een Cisco ASA firewall. De servers zijn aangesloten op een DMZ-interface van de firewall. Het interne netwerk zit aangesloten op een 'inside'-interface en de verbinding naar onze isp is aangesloten op een 'outside'-interface.
De servers in de DMZ hebben externe ip-adressen (bijv 66.1.1.1 tot 66.1.1.127), er vindt hier in principe geen NATting plaats, maar omdat de firewall is geconfigureerd om default geen unNATted adressen door te laten is hiervoor een NAT opgenomen met aan beide kanten dezelfde ip-range (66.1.1.1/25 <> 66.1.1.1/25). Ik heb als test geprobeerd een NAT op de nemen zodat requests voor een dmz-adres (66.1.1.59) die op de outside interface binnenkomen worden genat naar een ander dmz-adres (66.1.1.79). Die 66.1.1.59 is dan het adres van de originele webserver en de 66.1.1.79 is van een tijdelijke server waarop de maintenance-pagina worden aangeboden. Zodra ik dit doe krijg ik een foutmelding dat dit een bestaande NAT overlapt. Logisch, want deze bestaande NAT is die van de 66.1.1.1/25 range. Het gevolg hiervan is dat dit ook niet werkt.
We hebben in de DMZ nog een Cisco CSS11501 staan voor loadbalancing. Ik heb gekeken of deze een mogelijkheid heeft om aan de hand van het source-ip een url-rewrite te doen of iets dergelijks, maar deze functionaliteit heb ik niet kunnen vinden.
Ik loop hier een beetje vast. Weet iemand een mogelijkheid om dit toch aan de gang te krijgen, misschien ook op een andere manier?
Alvast bedankt!
Aldus sprak ik.
/u/11917/cheshirecat.png?f=community)
