Проблема с PFsense и битрикс.
-
Подскажите а как создать A-запись в pfsense? неплохой вариантик)))
-
Подскажите а как создать A-запись в pfsense? неплохой вариантик)))
http://www.thin.kiev.ua/router-os/50-pfsense/663-dns-forwarder-pfsense-20.html
-
так не получится ибо включить DHCP сервер нет возможности поскольку мы получаем айпишники по DHCP головной сети
-
А включения
NAT Reflection mode for port forwards (When enabled, this automatically creates additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.)
в
System: Advanced: Firewall and NATНедостаточно?
Работает без всяких манипуляций с DNS
-
что из этого ???? и можно поподробнее что эта функция делает? ::)
-
В ранних версиях pfSense нужно было убрать галочку у поля Disable NAT Reflection for port forwards. Сделано но все равно при попытке обращения к доменному имени выдает следующее :
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname -
Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))
-
ну и соответственно при всем при этом если пробовать к примеру через hideme то все норм.
-
Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))
ИМХО
Измените порт админки ПФ с 80 на любой другой. -
тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::) -
тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::)Из за того что вы ломитесь на айпи пфсенса по доменному имени.
-
а если я поставлю в настройках не 80 и не 443 порт то через браузер я уже не попаду в пфс?
-
всё туплю с портом затупил) изменил на другой порт. теперь по доменному имени не выдает это сообщение, но и вовсе ничего не грузится. так же и по внешнему айпи я больше не попадаю на pfs но и так же ничего не грузится))
-
другими словами из локалки я попрежнему не могу зайти на сайт по доменному имени…
-
вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...
-
вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...
При локальном маппинге портов (пробросе портов как любят говорить) сайт, получая перенаправленный пакет от pfSense, видит отправителем непосредственно клиента, и соответственно кидает ответ ему напрямую. При этом клиент установил соединение с адресом pfSense и ждет ответа с этого-же адреса, а прямой ответ сайта игнорирует (неопознанный пакет).
Здесь возможно 3 варианта исправления ситуации:
- разрешать клиенту имя сайта в локальный IP сайта = локальный DNS
- вместе с портфорвардом маскировать адрес отправителя с помощью NAT (подменять на адрес pfSense), чтобы сайт отвечал клиенту через pfSense
- вынести сайт в отдельную DMZ, тогда все пакеты будут идти туда-обратно через pfSense.
-
более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети? -
более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети?В ситуации если ваш пфсенс является шлюзом по умолчанию для сервера на который вы переадресовываете, достаточно сделать так:
http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.htmlЕжели шлюз не прописан, то так:
http://www.thin.kiev.ua/router-os/50-pfsense/456-222.htmlДругие варианты:
http://www.thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.htmlP.S. Бывают случаи когда x64 сборка не делает того что должна.
-
локальный адрес присвоенный pfsense являектся шлюзом. добавил правило как в инструкции. ничего не изменилось. по доменному имени по прежнему блочит а по ай который привязан к доменному имени кидает на веб морду pfsense. :-[
-
кстати у меня стоит сервис squid. он не может блочить?