Problema con las reglas de NAT para un proxy-transp.Squid instalado en otro Host
-
Buenos dias
Hola a todos, tengo una pc con con 3 tarjetas de RED y PFSENSE 1.2.2 instalado,
LAN - 10.1.0.3/24
WAN- xxx.xxx.xxx.xxx
DMZ- 192.168.1.1
la LAN va conectada a un Switch que tiene conectado a su vez 2 servidores y un access router Cisco Modular(el encargado de rutear los diferentes rangos de ip de la intranet (172.16.0.0/24 , 172.16.2.0/24 y la 172.16.3.0/24)) El PFSENSE llega perfecto a las ip anteriormente detalladas pues ya se le definieron las rutas.
En la DMZ tengo una pc con debian corriendo el squid en el puerto 3128 con la ip 192.168.1.2
Necesito ayuda para crear una regla de NAT para proxy transparente solamente a la red 172.16.0.0/24 o sea
SourceIP=172.16.0.0/24 - SourcePort >1024 - DestIP=any - DestPort=80 - TranslateDestIP=192.168.1.2 - TranslateDestPort=3128
No tengo idea de como ponerlo pues cuando trabajo en el NAT outbound o portForwarding es obligado crear la IP virtual en el TranslateIP.
Por favor eso es lo unico que me falta hasta ahora para poder cambiar mi FW de Iptables sobre debian y FWBuilder con TC shapping implementado, por este que me ha comvencido muchisimo, execto por este detalle anteriormene planteado. No se si es un problema de falta de conocimientos por parte mia con el PFSense o no esta implementada esta posibilidad en esta version y se implementa en versiones posterioresSalu2
Pack
-
¡Hola!
Para redireccionar tráfico hay que hacer NAT Port Forward en la LAN hacia una IP (el servidor proxy en tu caso) situada en otra interfase de pfSense, distinta de la LAN.
Saludos,
Josep Pujadas
-
Hola bellera
Ante todo gracias por atender mi duda
Eso que me dices esta bien pero cuando lo voy a implementar en el port forwarding es donde se complica
le defino en interface: la lan
y cuando voy a definir la external interface como la red 172.16.0.0/24 no me lo permite, solo me permite ip vituales creadas con anterioridad
sin embargo si puedo definir el NAT ip y el local port que necesitoNo se si es debido a la version de PFSense que tengo
saludosLuis
-
Supongamos:
WAN 192.168.0.0/30
LAN 192.168.1.0/24
OPT1 192.168.2.0/24Proxy en 192.168.2.12
Adjunto imagen de como redireccionar todo el tráfico http que llegue a la LAN hacia 192.168.2.16:3128
Con eso, además, el proxy queda como transparente aunque no lo sea realmente.
Al parecer, tiene que serlo. Lo probé (21-10-2010) y tuve que declarar transparent en squid.confO también, por qué no:
WAN 192.168.2.0/24
LAN 192.168.0.0/24Es decir, poner al proxy en el lado WAN …
Saludos,
Josep Pujadas