Проблема с PFsense и битрикс.
-
ну и соответственно при всем при этом если пробовать к примеру через hideme то все норм.
-
Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))
ИМХО
Измените порт админки ПФ с 80 на любой другой. -
тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::) -
тогда из-за чего выдает
Potential DNS Rebind attack detected, see бла бла бла википедия…
Try accessing the router by IP address instead of by hostname ? ::)Из за того что вы ломитесь на айпи пфсенса по доменному имени.
-
а если я поставлю в настройках не 80 и не 443 порт то через браузер я уже не попаду в пфс?
-
всё туплю с портом затупил) изменил на другой порт. теперь по доменному имени не выдает это сообщение, но и вовсе ничего не грузится. так же и по внешнему айпи я больше не попадаю на pfs но и так же ничего не грузится))
-
другими словами из локалки я попрежнему не могу зайти на сайт по доменному имени…
-
вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...
-
вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...
При локальном маппинге портов (пробросе портов как любят говорить) сайт, получая перенаправленный пакет от pfSense, видит отправителем непосредственно клиента, и соответственно кидает ответ ему напрямую. При этом клиент установил соединение с адресом pfSense и ждет ответа с этого-же адреса, а прямой ответ сайта игнорирует (неопознанный пакет).
Здесь возможно 3 варианта исправления ситуации:
- разрешать клиенту имя сайта в локальный IP сайта = локальный DNS
- вместе с портфорвардом маскировать адрес отправителя с помощью NAT (подменять на адрес pfSense), чтобы сайт отвечал клиенту через pfSense
- вынести сайт в отдельную DMZ, тогда все пакеты будут идти туда-обратно через pfSense.
-
более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети? -
более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети?В ситуации если ваш пфсенс является шлюзом по умолчанию для сервера на который вы переадресовываете, достаточно сделать так:
http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.htmlЕжели шлюз не прописан, то так:
http://www.thin.kiev.ua/router-os/50-pfsense/456-222.htmlДругие варианты:
http://www.thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.htmlP.S. Бывают случаи когда x64 сборка не делает того что должна.
-
локальный адрес присвоенный pfsense являектся шлюзом. добавил правило как в инструкции. ничего не изменилось. по доменному имени по прежнему блочит а по ай который привязан к доменному имени кидает на веб морду pfsense. :-[
-
кстати у меня стоит сервис squid. он не может блочить?
-
1.
наша сеть это подсеть. Сервер днс я так понимаю есть в головное сети и он раздает нам днс. 192.168.2.3 192.168.7.2
Настроить А-запись на этих DNS.
2. Или использовать файл hosts (Windows) на ваших раб. станциях.
-
через hosts норм робит. а по поводу записей А можно поподробнее?
-
как вариант использовать NAT reflection, тогда он будет кидать на WAN и с него уже по правилу NAT на DMZ сервер.
но это костыль, попросите вышестоящих админов прописать внутреннюю зону