[РЕШЕНО] статический ip или как лучше?

[SLEDopit]

Есть у меня программа, виндовая, которая привязывается к внешнему ip, т.е. на машине за натом она работать не будет.
Вот сижу и думаю, куда ее поставить =)
Дело в том, что статика у меня есть, но она идет напрямую на сервер с дебианом, который раздает инет всем остальным, + там крутится апач и isp manager, который так же привязывается к ip.
Т.е. убрать сервер оттуда я не могу, т.к. isp уже давно привязан по ip, а переводить все что крутится с апача на иис желания никакого нет.
Думал повесить на дебиан виртуалку с виндой, однако в последнее время идет слишком большая нагрузка с сайтов (там 2 монстра крутятся, и хоть всего 200-300 уников/сутки на каждом, но сами по себе сайты очень тяжелые). Боюсь, что если повесить еще и виртуалку, то сервер просто ляжет. (железка там - Атлон64 X2 дуал кор 4000+ с гигом оперативы). Но и второго айпи пока нету.
Если мне удастся договориться с провайдером, и они выделят мне еще один статический айпи (в чем я пока что сомневаюсь), есть возможность прокинуть его на машину за натом, чтобы у нее был реальный ip?
Если мне не удастся с ними договориться, какие варианты решения могут быть?
зы Брать выделенный сервер у какой-либо компании не хотелось бы, (да и дорого, как я посмотрел, от 150уе/мес более-менее подходящие решения), т.к. лицензия будет зависеть от посторонних людей, а денег за лицензию я заплатил немало.
Думал про ipv6, но по ходу привязка идет только к ipv4.
Мне просто нужен совет, как лучше сделать, а то я сам запутался уже что и как лучше (

[/dev/random]

Хм. Ну, можно так:
Назовём ваш внешний IP 31x.0 (т.е. 31 неизвестных бита и 0. Если адрес на самом деле нечётный, то здесь и далее замените .0 на .1 и наоборот). Создайте локалку на 2 компа (возможно, vpn внутри более крупной локалки). Серверу дайте в ней адрес 31x.1 и маску /31. Виндовой машине - адрес 31x.0, маску /31 и шлюз по-умолчанию 31x.1. То, что серверу придётся маршрутизовать трафик на адрес, совпадающий с его внешним, а также то, что диапазоны подсетей будут пересекаться, решается при помощи ручного задания правил iptables. Это, конечно, некрасиво, но - какая задача, такое и решение.
Задайте несколько статически пробрасываемых портов, один-в-один (те, на которых будет слушать программа). В общем-то, всё. Программа будет думать, что она торчит напрямую в интернет, а непроброшенные порты просто заблокированны файерволлом.

Да, если есть третий компьютер, то можно избежать пересечения подсетей, сделав его промежуточным шлюзом между сервером и виндой.

[SLEDopit]

что-то я не сильно понял, как это реализовать.
можно чуть поподробнее пояснить на примере, если у меня есть внешний ип, допустим, 88.88.88.14?
ну или хотя бы подсказать что конкретно почитать..

[/dev/random]

Вам с промежуточным компом? (в качестве него может быть и виртуалка) Это проще и в объяснении, и в понимании, и в реализации.

[SLEDopit]

Вам с промежуточным компом? (в качестве него может быть и виртуалка) Это проще и в объяснении, и в понимании, и в реализации.

Да, если не затруднит.

[/dev/random]

Создаёте 2 локалки (возможно, VPN): сервер с промежуточным и промежуточный с виндой.

В винде: адрес 88.88.88.14, маска 255.255.255.254, шлюз 88.88.88.15.

В промежуточном, сеть с виндой: адрес 88.88.88.15, маска 255.255.255.254. (eth1)
В промежуточном, сеть с сервером: адрес 192.168.5.1, маска 255.255.255.0, шлюз 192.168.5.0 (eth0)
В промежуточном настраивается NAT и прямой проброс нескольких портов (которые использует программа)
Пример проброса одного порта:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1080 -j DNAT --to 88.88.88.14
iptables -A FORWARD -i eth0 -p tcp -d 88.88.88.14 --dport 1080 -j ACCEPT

На сервере, сеть с промежуточным: адрес 192.168.5.0, маска 255.255.255.0 (eth1)
На сервере, внешняя сеть: eth0
На сервере настраивается NAT и проброс тех же портов
Пример проброса одного порта:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1080 -j DNAT --to 192.168.5.1
iptables -A FORWARD -i eth0 -p tcp -d 192.168.5.1 --dport 1080 -j ACCEPT

[SLEDopit]

Спасибо большое, /dev/random.
У меня осталась только последний вопрос:
Если для работы программы не нужно обеспечивать доступ извне, то никакие порты пробрасывать не нужно?

[/dev/random]

Я правильно понимаю, что тут выстраивается некая "фейковая" сеть с ip, похожим на мой внешний, и программе необходимо будет указать привязку именно к 88.88.88.15?

Нет, к 88.88.88.14 - вашему реальному, совпадающему при этом с "внутренним" IP винды.

IP 88.88.88.15 может быть задействован кем-то другим в реальном интернете? (в принципе оно так и есть)

Да.

Если для работы программы не нужно обеспечивать доступ извне, то никакие порты пробрасывать не нужно?

Если для работы программы не нужно обеспечивать доступ извне, то зачем ей вообще привязка к внешнему IP?

[SLEDopit]

Нет, к 88.88.88.14 - вашему реальному, совпадающему при этом с "внутренним" IP винды.

Ага, я понял это сразу, как запостил, потому и подправил пост.
Да, видать долго правил.

Если для работы программы не нужно обеспечивать доступ извне, то зачем ей вообще привязка к внешнему IP?

Насколько я знаю, привязка идет из-за лицензии. Чтобы больше нигде не использовалась. Просто программа ориентирована на сео-оптимизаторов, видимо поэтому решили привязываться к ip.

Еще раз большое спасибо.

[kholeg]

Доброго времени суток!

А Dyndns-сервис здесь не поможет?
Сам сижу за рутером с NAT-ом, каждый день провайдер рвёт соединение в 3 ночи и получаю новый IP.
С внешней стороны вижу себя всегда как bla-bla.homelinux.ip

[SLEDopit]

А Dyndns-сервис здесь не поможет?

А как он может помочь?
Мне же не домен нужно привязать к ip, а лицензию. И привязка идет к ip, а не к домену.

[kholeg]

...только к голому IP? Тогда понятно. Тогда мой пост не в тему. Sorry!