Info regola firewall (iptables NAT PREROUTING….)

firewall

Ciao…amici...

chi mi aiuta a creare una regola con pfsense simile al NAT prerouting di iptables?

In pratica... ho un proxy web in modo trasparente un una macchina a se, e voglio fare in modo che tutte le connessioni DALLA LAN dirette su internet alla porta 80, vengono rediretta da pfsense sul server proxy porta 3128.

GRAZIE

Zanotti

Credo che la mia configurazione spossa andare bene anche per te. Devi solo cambiare il campo IP PROVIDER con quello dell'altro pc con squid.

Una volta fatto il port forwarding bisogna anche abilitare l'uscita dei pacchetti sulla lan

firewall

Grazie…

ma non funge...
sbaglio io?

di solito io con linux faccio:

IPTABLES –t nat –A PREROUTING –p tcp –i eth0 –dport 80 –j REDIRECT –-to-port 3128

grazie

bruno

spero di non dire una grossa fesseria, ma sapevo non ci fosse possibilità attualmente di fare quello che chiedi, ho tentato svariate volte in passato senza mai riuscirci.

uno degli ultimi tentativi lo trovi qui: http://forum.pfsense.org/index.php/topic,5032.0.html ma termina senza conclusioni..

avevano anche proposto un bounty per poter disporre di WCCP (http://en.wikipedia.org/wiki/Web_Cache_Communication_Protocol) ma è stato abbandonato anche quello http://forum.pfsense.org/index.php/topic,8536.0.html

albgen

@firewall:

Ciao…amici...

chi mi aiuta a creare una regola con pfsense simile al NAT prerouting di iptables?

In pratica... ho un proxy web in modo trasparente un una macchina a se, e voglio fare in modo che tutte le connessioni DALLA LAN dirette su internet alla porta 80, vengono rediretta da pfsense sul server proxy porta 3128.

GRAZIE

ci devi dire se il proxy è all'interno della lan oppure se si strova la wan e pfsense o se hai un altra configurazione. fai un disegnino…
e poi cosa hai inserito come gateway nei tuoi client ?

albgen

@bruno:

spero di non dire una grossa fesseria, ma sapevo non ci fosse possibilità attualmente di fare quello che chiedi, ho tentato svariate volte in passato senza mai riuscirci.

uno degli ultimi tentativi lo trovi qui: http://forum.pfsense.org/index.php/topic,5032.0.html ma termina senza conclusioni..

avevano anche proposto un bounty per poter disporre di WCCP (http://en.wikipedia.org/wiki/Web_Cache_Communication_Protocol) ma è stato abbandonato anche quello http://forum.pfsense.org/index.php/topic,8536.0.html

Quella particolare confgiurazione non può funzionare perchè tutte le macchine + il proxy si trovano all'interno della lan e immagino che hai impostato come gateway l'ip lan del pfsense. Quando tu fai una richiesta web, questa va a pfsense che semplicemente lo passa alla wan facendo il nat ! se invece metti il proxy tra la wan e pfsense allora vedrai che ti funzionerà. Il problema è che il proxy non sarà protetto da firewall.

firewall

ragazzi…
a me servirebbe solo un modo per aggiungere la regola equivalente di iptables
IPTABLES –t nat –A PREROUTING –p tcp –i eth0 –dport 80 –j REDIRECT –-to-port 3128

a pf... (anche da riga di comando....)
ma non ho trovato niente in merito....

GRAZIE

mascaos

@firewall:

ragazzi…
a me servirebbe solo un modo per aggiungere la regola equivalente di iptables
IPTABLES –t nat –A PREROUTING –p tcp –i eth0 –dport 80 –j REDIRECT –-to-port 3128

a pf... (anche da riga di comando....)
ma non ho trovato niente in merito....

GRAZIE

Vuoi fare un trasparent proxy?
In ogni caso il comando non è così:
iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT --to-destination 192.168.1.254:8080

Se usi squid di pf c'è la sua opz.

Matteo
Ciaoz.-

firewall

@mascaos:

@firewall:

ragazzi…
a me servirebbe solo un modo per aggiungere la regola equivalente di iptables
IPTABLES –t nat –A PREROUTING –p tcp –i eth0 –dport 80 –j REDIRECT –-to-port 3128

a pf... (anche da riga di comando....)
ma non ho trovato niente in merito....

GRAZIE

Vuoi fare un trasparent proxy?
In ogni caso il comando non è così:
iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT --to-destination 192.168.1.254:8080

Se usi squid di pf c'è la sua opz.

Matteo
Ciaoz.-

sono andato a memoria :-)

Supponiamo che non ci sia il pacchetto in pf… io vorrei solo avere qualche info in + sul comando equivalente iptables --> pf.

O se è possibile, creare questa regola proprio graficamente (come se fosse una regola normale)

eri--

Si e una "port forwarding" e puoi creare con la graffica.

La regola uguale in pf e rdr on $wan proto tcp from any to $wanip port $port -> $internal_ip port $internal_port

Ma omuncue puoi farlo con la graffica semplicemente.

Quando WCCP si puo fare da command line e non so perche il bounty no e stato finito.
Per recordo, if_gre(4) if FreeBSD suporta WCCP[1,2] quindi questo e possibile da configurare.

Ermal

P.S. scussate ma sonno capitato di caso, ma e tempo che non schrivo l'italiano :)