Выборочная переадресация
-
С определённых IP, боюсь, никак.
-
Пакет вроде был который в 1.2.3 в NAT SRC опции.
-
Пакет вроде был который в 1.2.3 в NAT SRC опции.
Извините, но не понял, что за пакет?
Обнаружил onatproto, но, как показала практика, этот пакет нужен для переброса отдельных протоколов целых сетей(http://doc.pfsense.org/index.php/Onatproto_Package) (а не определенных ип) в outbound nat, что совсем не то, что нужно.Не подскажете, возможно ли реализовать данную функцию(перенаправление всех запросов по 80 порту с определенных ип на выдленный веб-сервер) в версии RC 2.0?
(объясню необходимость. В сети есть пользователи, незарегистрированные в базе данных, и, собственно, не получающие доступ в интернет. Есть мысль создать страницу с приветствием и сообщением о том, как можно получить доступ в интернет и что для этого необходимо сделать. Для этого им выдается ип, с которого все запросы и будут переведены на данную страницу. Это лишь одна из мыслей реализации данной возможности, которая, повторюсь, была бы очень полезна и во многих других ситуацих, например, сигнализировании о неполадках в сети, во время отсутствия интернета у определенных пользователей и тп. случаях)
Cпасибо. -
(объясню необходимость. В сети есть пользователи, незарегистрированные в базе данных, и, собственно, не получающие доступ в интернет. Есть мысль создать страницу с приветствием и сообщением о том, как можно получить доступ в интернет и что для этого необходимо сделать. Для этого им выдается ип, с которого все запросы и будут переведены на данную страницу. Это лишь одна из мыслей реализации данной возможности, которая, повторюсь, была бы очень полезна и во многих других ситуацих, например, сигнализировании о неполадках в сети, во время отсутствия интернета у определенных пользователей и тп. случаях)
Вы не пробовали CaptivePortal? Там есть и перенаправление на веб страницу и авторизация.
-
Проблема в том, что он действует наоборот. Там по ип или мак-адресу можно прописать исключения, которые будут проходить captive portal, а в данной ситуации в базу мак-адресов нужно внести вручную по меньшей мере 150 мак-адресов, и страница там только одна, и не понятно на каком движке вообще. Вот и думаем об обратном функционале пропускного режима. Не исключения, а наоборот, маки(ип), которые туда попадают.
Конечно, вбить 150 адресов всегда остаётся вариантом, но все-таки -
В 2.0 есть в NAT/Outbound возможность мапинга и фильтрации по Source
-
+1 причина переезда на 2.0. Будем начинать планировать переезд)
Всем спасибо. -
C нетерпением ждем результатом ваших тестов!
-
http://91.192.71.196/BSDCert/BSDA-course/apcs02.html#pf-nat
п C.2.1.6.4. Перенаправление и отражениеВаши
C.2.1.6.4.2. Перемещение сервера в отдельную сеть
C.2.1.6.4.4. RDR в комбинации с NAT -
http://91.192.71.196/BSDCert/BSDA-course/apcs02.html#pf-nat
п C.2.1.6.4. Перенаправление и отражениеВаши
C.2.1.6.4.2. Перемещение сервера в отдельную сеть
C.2.1.6.4.4. RDR в комбинации с NATЕще можно создать отдельные подсети и для них уже различные правила Outbound NAT.
Но это все не с полпинка и не родное, как я понимаю данного прикрученного функционала нет в pfsense? Просто редактирование вручную правил фаервола и нат'a не самое безопасное занятие.. Но вариант возьмем на заметку.
Пока я пишу скрипт для добавления всех мак-адресом из dhcp-сервера в базу pass through mac captive portal'а. -
Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.
-
Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.
Не уточните как с помощью squid'a настроить требуемое перенаправление? Повторюсь, необходимо запросы с 80 порта определенных ип-адресов перенаправлять на 80 порт выделенного сервера. Никакого доступа в интернет по средством этого осуществлять не нужно.
-
Если вопрос в предоставлении полноценного интернет доступа, то нет. Если только HTTP. то на squid/squidGuard можно сделать.
Не уточните как с помощью squid'a настроить требуемое перенаправление? Повторюсь, необходимо запросы с 80 порта определенных ип-адресов перенаправлять на 80 порт выделенного сервера. Никакого доступа в интернет по средством этого осуществлять не нужно.
Имеется ввиду что средствами сквида контролируется только HTTP трафик.
В сквидгарде на В AСL делается перенаправление на URL выделенного сервера, а остальные ходят куда и как хотят, но через прокси. -
Cпасибо, все расчудесно работает!
Правда squidguard при каждом нажатии apply выдает:
Warning: file_get_contents(/usr/local/etc/squidGuard/blacklist.files): failed to open stream: No such file or directory in /usr/local/pkg/squidguard_configurator.inc on line 585 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/pkg/squidguard_configurator.inc:585) in /usr/local/www/pkg_edit.php on line 35
Но все работает. Не будем обращать внимания) -
Cпасибо, все расчудесно работает!
Правда squidguard при каждом нажатии apply выдает:
Warning: file_get_contents(/usr/local/etc/squidGuard/blacklist.files): failed to open stream: No such file or directory in /usr/local/pkg/squidguard_configurator.inc on line 585 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/pkg/squidguard_configurator.inc:585) in /usr/local/www/pkg_edit.php on line 35
Но все работает. Не будем обращать внимания)Создайте пустой файл /usr/local/etc/squidGuard/blacklist.files и не будет ругаться
-
DasTieRR,
Cпасибо, помогло.Может, еще знаете как исправить то, что все логи именно в Proxy filter -> Log -> Filter GUI log датированы 01.01.1970 02:59:59?
Но тоже, вообщем, несущественно. -
DasTieRR,
Cпасибо, помогло.Может, еще знаете как исправить то, что все логи именно в Proxy filter -> Log -> Filter GUI log датированы 01.01.1970 02:59:59?
Но тоже, вообщем, несущественно.Я знаю, но пока не скажу.
-
Хотелось бы добавить на заметку случайно забредшему гостю, что вариант Squid+SqidGuard помимо своего присутствия (в случае столь тривиальной задачи) создают следующие проблемы (или новые документированные "невозможности"):
*периодически (случайным и незапланированным) резко переполняется жесткий диск кэшем, ограниченным в конфиге 100мб;
*нет возможности управлять хттп трафиком посредством трафик шейпера;
*вы вынуждены дополнительно (фаервол бессилен) управлять разрешениями на 80 порт.
так-то