Virtual Ip и их проброс дальше
-
Настроить правила НАТ 1:1
Всё проще - NAT reflection enable
…но для этого нужно убрать за PFsens все 5 web-серверов.
...или как-то по другому можно настроить проброс внешнего ip до внутреннего вебсервера?То-есть NAT reflection решило эти Ваши задачи?
Firewall: NAT: Port Forward
Interface WAN
Protocol TCP
Destination 84.***.17.24
Redirect target IP 192.168.0.24
Redirect target port HTTP
NAT reflection enableFirewall: Virtual IP Address:
Interface WAN
IP Address 84.***.17.24т.е - да, можно считать что настроено было всё правильно, не хватало включенного обратного кольца, искали просто LoopBack, обычно это так называлось ;)
-
Настроить правила НАТ 1:1
Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?
Или 1:1 - это не аналог бриджа?!
-
Настроить правила НАТ 1:1
Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?
Или 1:1 - это не аналог бриджа?!
Можно и портфорвардом и 1:1, в любом случае доступ к сервисам настраивается правилами WAN. Одно отличие 1:1 от портфорварда - исходящие соединения от ваших серверов будут идти от имени WAN. Для WEB сервиса это не играет роли, а вот для FTP сервера очень даже важно.
Нат 1:1 это не бридж, это би-нат.
Кстати, вы выше писали, что находитесь в одной подсети с провайдером. Для серверов как раз можно было-бы сделать DMZ (другой вариант - без ната) и открыть только нужные порты на WAN. В этом случае ваши серверы как раз и были-бы "физически" телом в интернете, но контролируемым файрволом способом. -
Настроить правила НАТ 1:1
Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?
Или 1:1 - это не аналог бриджа?!
Можно и портфорвардом и 1:1, в любом случае доступ к сервисам настраивается правилами WAN. Одно отличие 1:1 от портфорварда - исходящие соединения от ваших серверов будут идти от имени WAN. Для WEB сервиса это не играет роли, а вот для FTP сервера очень даже важно.
Нат 1:1 это не бридж, это би-нат.
Кстати, вы выше писали, что находитесь в одной подсети с провайдером. Для серверов как раз можно было-бы сделать DMZ (другой вариант - без ната) и открыть только нужные порты на WAN. В этом случае ваши серверы как раз и были-бы "физически" телом в интернете, но контролируемым файрволом способом.Про бридж - я образно сказал. Действительно сейчас столкнулись с проблемой проброса ФТП, и ваша подсказка про 1 к 1 очень помогла. Спасибо.
Сейчас все настроим, протестируем, отпишусь как сделали. Вскорем еще запустим астериск :) это должно быть интересно.
-
Итак, продолжаем тему:
NAT 1:1 вообще не заработал с ФТП, ни в какую, даже в активном режиме не пускал.
Сейчас сделали следующее:
Destination: 84.***.17.21
Destination port range from FTP to FTP
Redirect target IP 192.168.1.14
Redirect target port FTP
NAT reflection enableVirtual IP:
Type IP Alias
IP Address(es) 84.***.17.21/24на фтп сервере прописан:
pasv_enable=YES
pasv_address=84.***.17.21работает…НО в активном режиме. В пасиве отказывается подключатся.
отсюда возникает вопрос: раз не хочет работать
virtual IP Type ip Alias - было, где-то написано что выставить VIP CARP.
а вообщем решит ли это нашу проблему с подключением в пассивном режиме?!1:1 NAT настраивался по http://shop.nativepc.ru/content/80-pfsense-7 пункт: 7.3.2.2.
-
Как вариант в настройках ФТП-сервера явно указать какой дипазон портов использовать для пассива. И пробросить аналогично правила для ФТП.
-
Как вариант в настройках ФТП-сервера явно указать какой дипазон портов использовать для пассива. И пробросить аналогично правила для ФТП.
делали rule TCP 10000-11000
на фтп прописано:pasv_min_port=10000
pasv_max_port=110000 эмоций
-
У меня в Firewall: Virtual IP Address: Edit : Type - IP Alias и FTP прекрасно работает в пассиве.
-
У меня в Firewall: Virtual IP Address: Edit : Type - IP Alias и FTP прекрасно работает в пассиве.
а можно полный набор правил который вы прописывали для проброса фтп?
-
У меня в Firewall: Virtual IP Address: Edit : Type - IP Alias и FTP прекрасно работает в пассиве.
а можно полный набор правил который вы прописывали для проброса фтп?
Firewall: NAT: Port Forward
WAN TCP * * WAN address 21 (FTP) 10.x.x.x 21 (FTP)
WAN TCP * * WAN address 9000 - 9030 10.x.x.x 9000 - 9030 FTP Passive mode portsНу и в fw на WAN (создались автоматом) :
TCP * * 10.x.x.x 21 (FTP) * none NAT
TCP * * 10.x.x.x 9000 - 9030 * none NAT (FTP Passive mode ports)Только в Вашем случае вместо WAN address будет Ваш виртуальный адрес.
P.s. Вы доступ к портам извне проверяете с другого провайдера?
-
У меня в Firewall: Virtual IP Address: Edit : Type - IP Alias и FTP прекрасно работает в пассиве.
а можно полный набор правил который вы прописывали для проброса фтп?
Firewall: NAT: Port Forward
WAN TCP * * WAN address 21 (FTP) 10.x.x.x 21 (FTP)
WAN TCP * * WAN address 9000 - 9030 10.x.x.x 9000 - 9030 FTP Passive mode portsНу и в fw на WAN (создались автоматом) :
TCP * * 10.x.x.x 21 (FTP) * none NAT
TCP * * 10.x.x.x 9000 - 9030 * none NAT (FTP Passive mode ports)Только в Вашем случае вместо WAN address будет Ваш виртуальный адрес.
P.s. Вы доступ к портам извне проверяете с другого провайдера?
там открыто должно быть все у другого провайдера. еще раз сейчас перепроверим всё.. но все правила - что у вас, идеинтичны
а настроены ли у вас: Firewall: NAT: Outbound ??
# it's work действительно немного поковырявшись, выяснили что, что-то блочит проверочную машину, из-за других натов - все впорядке, всё подключается в пассивном режиме.
