Выборочная переадресация

goliy

Ааа, извиняюсь за нубство, но не получается.
Еще раз - в данном примере нужно чтобы по любому запросу в браузере клиент 1.0.0.7 видел отображение с 1.0.0.3
делаю во вкладках port forwarding и 1:1

11.png_thumb
![port forwarding.png](/public/imported_attachments/1/port forwarding.png)
![port forwarding.png_thumb](/public/imported_attachments/1/port forwarding.png_thumb)

goliy

Подскажите, пожалуйста, что я делаю не так?
Потому что следую мануалу pfsense про port forwarding и примеру http://forum.pfsense.org/index.php/topic,22839.msg175297.html#msg175297 с маппингом портов на примере MS-RDP так должно работать. Ибо и правила в фаерволе есть, и в port forwarding'e вроде, все так.
Но эффекта не видно, на сайт 1.0.0.3 никого не перенаправляет. И как указывать определенные ип-адреса, которыe надо перенаправлять я тоже не нашел.

Eugene

С определённых IP, боюсь, никак.

dvserg

Пакет вроде был который в 1.2.3 в NAT SRC опции.

goliy

@dvserg:

Пакет вроде был который в 1.2.3 в NAT SRC опции.

Извините, но не понял, что за пакет?
Обнаружил onatproto, но, как показала практика, этот пакет нужен для переброса отдельных протоколов целых сетей(http://doc.pfsense.org/index.php/Onatproto_Package) (а не определенных ип) в outbound nat, что совсем не то, что нужно.

Не подскажете, возможно ли реализовать данную функцию(перенаправление всех запросов по 80 порту с определенных ип на выдленный веб-сервер) в версии RC 2.0?
(объясню необходимость. В сети есть пользователи, незарегистрированные в базе данных, и, собственно, не получающие доступ в интернет. Есть мысль создать страницу с приветствием и сообщением о том, как можно получить доступ в интернет и что для этого необходимо сделать. Для этого им выдается ип, с которого все запросы и будут переведены на данную страницу. Это лишь одна из мыслей реализации данной возможности, которая, повторюсь, была бы очень полезна и во многих других ситуацих, например, сигнализировании о неполадках в сети, во время отсутствия интернета у определенных пользователей и тп. случаях)
Cпасибо.

dvserg

@goliy:

(объясню необходимость. В сети есть пользователи, незарегистрированные в базе данных, и, собственно, не получающие доступ в интернет. Есть мысль создать страницу с приветствием и сообщением о том, как можно получить доступ в интернет и что для этого необходимо сделать. Для этого им выдается ип, с которого все запросы и будут переведены на данную страницу. Это лишь одна из мыслей реализации данной возможности, которая, повторюсь, была бы очень полезна и во многих других ситуацих, например, сигнализировании о неполадках в сети, во время отсутствия интернета у определенных пользователей и тп. случаях)

Вы не пробовали CaptivePortal? Там есть и перенаправление на веб страницу и авторизация.

goliy

Проблема в том, что он действует наоборот. Там по ип или мак-адресу можно прописать исключения, которые будут проходить captive portal, а в данной ситуации в базу мак-адресов нужно внести вручную по меньшей мере 150 мак-адресов, и страница там только одна, и не понятно на каком движке вообще. Вот и думаем об обратном функционале пропускного режима. Не исключения, а наоборот, маки(ип), которые туда попадают.
Конечно, вбить 150 адресов всегда остаётся вариантом, но все-таки

dvserg

В 2.0 есть в NAT/Outbound возможность мапинга и фильтрации по Source

goliy

+1 причина переезда на 2.0. Будем начинать планировать переезд)
Всем спасибо.

goliy

C нетерпением ждем результатом ваших тестов!

dvserg

http://91.192.71.196/BSDCert/BSDA-course/apcs02.html#pf-nat
п C.2.1.6.4. Перенаправление и отражение

Ваши
C.2.1.6.4.2. Перемещение сервера в отдельную сеть
C.2.1.6.4.4. RDR в комбинации с NAT

goliy

@dvserg:

http://91.192.71.196/BSDCert/BSDA-course/apcs02.html#pf-nat
п C.2.1.6.4. Перенаправление и отражение

Ваши
C.2.1.6.4.2. Перемещение сервера в отдельную сеть
C.2.1.6.4.4. RDR в комбинации с NAT

Еще можно создать отдельные подсети и для них уже различные правила Outbound NAT.

Но это все не с полпинка и не родное, как я понимаю данного прикрученного функционала нет в pfsense? Просто редактирование вручную правил фаервола и нат'a не самое безопасное занятие.. Но вариант возьмем на заметку.
Пока я пишу скрипт для добавления всех мак-адресом из dhcp-сервера в базу pass through mac captive portal'а.

dvserg

Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.

goliy

@dvserg:

Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.

Не уточните как с помощью squid'a настроить требуемое перенаправление? Повторюсь, необходимо запросы с 80 порта определенных ип-адресов перенаправлять на 80 порт выделенного сервера. Никакого доступа в интернет по средством этого осуществлять не нужно.

dvserg

@goliy:

@dvserg:

Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.

Не уточните как с помощью squid'a настроить требуемое перенаправление? Повторюсь, необходимо запросы с 80 порта определенных ип-адресов перенаправлять на 80 порт выделенного сервера. Никакого доступа в интернет по средством этого осуществлять не нужно.

Имеется ввиду что средствами сквида контролируется только HTTP трафик.
В сквидгарде на В AСL делается перенаправление на URL выделенного сервера, а остальные ходят куда и как хотят, но через прокси.

goliy

Cпасибо, все расчудесно работает!
Правда squidguard при каждом нажатии apply выдает:
Warning: file_get_contents(/usr/local/etc/squidGuard/blacklist.files): failed to open stream: No such file or directory in /usr/local/pkg/squidguard_configurator.inc on line 585 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/pkg/squidguard_configurator.inc:585) in /usr/local/www/pkg_edit.php on line 35
Но все работает. Не будем обращать внимания)

DasTieRR

@goliy:

Cпасибо, все расчудесно работает!
Правда squidguard при каждом нажатии apply выдает:
Warning: file_get_contents(/usr/local/etc/squidGuard/blacklist.files): failed to open stream: No such file or directory in /usr/local/pkg/squidguard_configurator.inc on line 585 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/pkg/squidguard_configurator.inc:585) in /usr/local/www/pkg_edit.php on line 35
Но все работает. Не будем обращать внимания)

Создайте пустой файл /usr/local/etc/squidGuard/blacklist.files и не будет ругаться

goliy

DasTieRR,
Cпасибо, помогло.

Может, еще знаете как исправить то, что все логи именно в Proxy filter -> Log -> Filter GUI log датированы 01.01.1970 02:59:59?
Но тоже, вообщем, несущественно.

dvserg

@goliy:

DasTieRR,
Cпасибо, помогло.

Может, еще знаете как исправить то, что все логи именно в Proxy filter -> Log -> Filter GUI log датированы 01.01.1970 02:59:59?
Но тоже, вообщем, несущественно.

Я знаю, но пока не скажу.

goliy

Хотелось бы добавить на заметку случайно забредшему гостю, что вариант Squid+SqidGuard помимо своего присутствия (в случае столь тривиальной задачи) создают следующие проблемы (или новые документированные "невозможности"):
*периодически (случайным и незапланированным) резко переполняется жесткий диск кэшем, ограниченным в конфиге 100мб;
*нет возможности управлять хттп трафиком посредством трафик шейпера;
*вы вынуждены дополнительно (фаервол бессилен) управлять разрешениями на 80 порт.
так-то