Проблема с PFsense и битрикс.

KeHTok · Oct 23, 2014, 9:56 AM

Всем здрасьте. Суть такова: есть локалка. Инет идет по статичному айпишнику. Само собой инет раздается через pfsense. есть доменное имя которое привязано к статичному айпи провайдера. добавил правило нат чтобы этот айпишник перенаправлять на одну из локальных машин , на которой крутится веб окружение с битриксом. так вот из внешней сети по доменному имени pfsense перенаправляет на лдокальный айпи с битриком. а из самой локалки по доменному имени не возможно попасть на эту машину. как в pfsense настроить нат так чтобы из внутренней локальной сети компы попадали на комп с битриксом по доменному адресу а не по внутреннему айпи?

werter · Oct 23, 2014, 9:59 AM

Скрины правил fw, port forwarding.

KeHTok · Oct 23, 2014, 10:06 AM

правило которое перенаправляет с внешнего на локальный

dvserg · Oct 23, 2014, 10:10 AM

Перенаправление из локалки в локалку плохая идея. Настройте DNS в локалке, чтобы он разрешал Битрикс в локальный IP адрес, либо попробуйте настроить так (мапинг + НАТ) https://forum.pfsense.org/index.php/topic,40376.msg208841.html#msg208841

KeHTok · Oct 23, 2014, 10:21 AM

а можно плиз на пальцах я только начал работать с pfsense сложновато для восприятия…

werter · Oct 23, 2014, 10:28 AM

Есть ли DNS-сервер в локалке ? Если нет , то можно создать A-запись на самом pfsense.
И что указано в кач-ве DNS на раб. станциях клиентов?

KeHTok · Oct 23, 2014, 10:33 AM

наша сеть это подсеть. Сервер днс я так понимаю есть в головное сети и он раздает нам днс. 192.168.2.3 192.168.7.2

KeHTok · Oct 23, 2014, 10:33 AM

собственно мы получаем их по DHCP

KeHTok · Oct 23, 2014, 10:39 AM

Подскажите а как создать A-запись в pfsense? неплохой вариантик)))

dr.gopher · Oct 23, 2014, 11:21 AM

@KeHTok:

Подскажите а как создать A-запись в pfsense? неплохой вариантик)))

http://www.thin.kiev.ua/router-os/50-pfsense/663-dns-forwarder-pfsense-20.html

KeHTok · Oct 23, 2014, 11:41 AM

так не получится ибо включить DHCP сервер нет возможности поскольку мы получаем айпишники по DHCP головной сети

pigbrother · Oct 23, 2014, 11:56 AM

А включения
NAT Reflection mode for port forwards (When enabled, this automatically creates additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.)
в
System: Advanced: Firewall and NAT

Недостаточно?

Работает без всяких манипуляций с DNS

KeHTok · Oct 24, 2014, 4:58 AM

что из этого ???? и можно поподробнее что эта функция делает? ::)

KeHTok · Oct 24, 2014, 5:45 AM

В ранних версиях pfSense нужно было убрать галочку у поля Disable NAT Reflection for port forwards. Сделано но все равно при попытке обращения к доменному имени выдает следующее :
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname

KeHTok · Oct 24, 2014, 5:49 AM

Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))

KeHTok · Oct 24, 2014, 5:52 AM

ну и соответственно при всем при этом если пробовать к примеру через hideme то все норм.

dr.gopher · Oct 24, 2014, 7:23 AM

@KeHTok:

Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))

ИМХО
Измените порт админки ПФ с 80 на любой другой.

KeHTok · Oct 24, 2014, 7:27 AM

тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::)

dr.gopher · Oct 24, 2014, 7:31 AM

@KeHTok:

тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::)

Из за того что вы ломитесь на айпи пфсенса по доменному имени.

KeHTok · Oct 24, 2014, 7:32 AM

а если я поставлю в настройках не 80 и не 443 порт то через браузер я уже не попаду в пфс?