TransProxy

drongous

Народ обясните тупаку. ??? А то тут меня нагружают и ничаго не понимаю.

Задача. Есть фиревалл и два сервака в ДМЗ.

Шеф тут хочет дабы ето все организовывалось как Субж.
Но я не могу втупить как ето.
Я понал как порт форвардить в зависомости от алиасов на ване. Но как трасперети я так и не могу понять. Притом тоже в зависимости от алиасов.

dvserg

Мне кажется сначала нужно понять чего вы (ваш шеф) хотите получить, а решение выйдет из правильно поствленного вопроса.

drongous

Он хочет  >:(

Он гдето вичитал что ТранспарентПрокси ето круто и надежно.

На сколько я понимаю его работу (TransparetProxy), то можно проксировать один (например внешини 80-й) только на один в ДМЗ (на сервер во внири например 8080). Тоесть нету логического проксирования в зависимости от ІР на ван интерфейсе.
(На ване у нас алиасные IP, и при алиасных ИП можно делать простой порт форвардинг. Работает проверенно).

Прав или нет? Росудите. Или ткните мордой как кота в молоко.  :-\

dvserg

Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..
Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
–-
Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
2-руками добавлять правила в конфиг фильтра pf.
В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

drongous

@dvserg:

Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..

На сколько я понимаю не только для простоты попдания пользователей в мир.
@dvserg:

Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
–-
Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
2-руками добавлять правила в конфиг фильтра pf.
В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

Меня интересуєт вот чтото на подобие http://pfsense.trendchiller.com/transparent_firewall.pdf. Но для алиасов. Можно ли ету доку брать во внимание.

Спасибо за молоко.  ;D

dvserg

Мда, ключевое слово здесь прозрачный фильтрующий бридж.
Прозрачный прокси - это другой мьюзикл.
Было-бы неплохо иметь перед глазами схему вашей сети и что куда должно попасть. Я имею некоторый опыт конфигурирования бриджа. Можно использовать policy-based rules.

drongous

{          {INET}      }
|              |            |
|        {PFSENSE}  |
|          /        \      |
{Server 1}  {Server2}

Все ето дело в датацентре голандском.

В наличии хаб (они предоставляют, какой не имею себе представления)

{PFSENSE} - 3 интерфейса, один в инет смотрит, 2 в ДМЗ на серваки.
{Server 1} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)
{Server 2} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)

{PFSENSE} wan -> 192.125.45.138-139/29
                lan -> bridge на wan
                opt -> bridge на wan

{Server 1} eth0 -> 10.20.0.10 в дмз
                drac1 -> 192.125.45.140  в инет

{Server 2} eth0 -> 10.20.0.80 в дмз
                drac1 -> 192.125.45.141  в инет

Соответсвенно с портфорвардингом в такой ситуации все понятно.
А как нащет бриджа - хрен его знает. Посоветуйте, а точнее россудите кто прав.

dvserg

{PFSENSE} wan -> 192.125.45.138-139/29
                lan -> bridge на wan
                opt -> bridge на wan
–-
А lan opt wan имеют одну подсеть? тогда что такое eth0 10.x.x.x на серверах? Если интерфейсы организованы в бридж - это подразумевает у них одну подсеть.
По безопасности LAN рекомендуется делать с приватными адресами, так как с него позволяется конфигурировать pfsense. DMZ рекомендуют делать на Opt интерфейсах.
                                       [(opt1)]->servA_1…servA_n
inet->[(wan inet addr) pfSense (lan)]->LAN_subnet
                                       [(opt2)]->servB_1…servB_n

Если вы делаете бридж optx<->wan, то есс-нно каждый из ваших серверов должен будет иметь белый IP из подсети WAN, и есс-нно кульбиты с порт-форвардингом не нужны. Каждый сервер будет виден пользователям с инета под своим белым IP, хоть он и расположен на optx интерфейсе. А с помощью pfSense можно будеть осуществлять фильтрацию и защиту трафика к вашим серверам.
Если вы оставляете видимым один IP wan интерфейса (или назначаете несколько), а optx интерфейсы загоняете в серую зону IP адресов, то бридж здесь невозможен. Придется пользоваться портфорвардингом wan>opt.

drongous

Спасибочки за молоко.  ;)