Roteamento avançado
-
Pessoa, bom dia.
Estou usando pfsense para criar uma rota paliativa para a solucionar um problema que tive em um outro firewall. O que necessito é o publicar um serviço na web, fazendo com que o port forwading na wan redirecione o trafego para um proxy reverso nginx e esse proxy reverso por sua vez se comunique a aplicação de fato. Eu ja configurei tudo até o proxy reverso e até lá funciona. Mas do proxy reverso para o servidor web não consigo comunicar.
Eu to usando pra chegar do firewall até o proxy reverso um ip virtual, pois esse proxy está em uma rede DMZ. Por este motivo a unica forma que achei foi criar um virtual ip. Funciona pra essa primeira comunicação.
Pra vcs entenderem melhor a rede está configurar assim.
WAN - x.x.x.x
LAN - 10.0.0.1
DMZ - 10.20.20.1 (Virtual IP 10.30.30.1)O problema é quando a conexão vem do proxy reverso 10.30.30.2 para o servidor de aplicação 10.20.20.2. A informação não volta. Eu vi isso pelo packet capture.
Esse servidor web tem dois default gateway configurados pelas rotas avançadas do ip route 2 do linux. No meu caso preciso disso, não posso mudar pq está em produção. No gateway default da tabela padrão é tratado todo acesso interno e das vlans que acessam esse server. Nessa segunda tabela há um gateway default que é o 10.20.20.1 (DMZ do pfsense) que é por onde volta a informação que chega pelo pfsense (Trafego da internet). Inclusive atualmente está funcionando a aplicação pra internet através de um port forwarding com estas configurações, só que direto no server, sem passar pelo proxy. Mas preciso adicionar o proxy reverso por segurança.
Meu palpite para este problema é que não estou sabendo configurar este Virtual IP. Sei lá de alguma forma o pfsense não consegue devolver a informação para o proxy reverso pois o IP virtual não teria um rota configura visto que é um IP ALIAS.
Ou talvez, alguma coisa nesse roteamento do servidor de aplicação está impedindo a informação de voltar. Acho difícil, pelo fato de estar atualmente funcionando sem o proxy, e o proxy por sua vez acessa a aplicação no endereço 10.30.30.2 como se fosse um acesso pela internet, por exemplo.
Não há bloqueio nos servidores, disso que já me certifiquei.
-
Esse IP 10.30.30.1 é apenas um alias virtual?
Não há uma subrede 10.30.30 no PF?
Acho que aí está o problema.
Exemplo:
PF 20.1 –---- Reverso 20.2 / 30.1
Criar uma rota que tudo que for com destino a rede 30, vá para o IP 20.2.
-
Opa amigão, resolvi colocando o ip do proxy reverso na faixa da DMZ ao invés de criar aquele IP Virtual.
Agora estou com outro problema. Não está funcionando bem o redirecionamento do proxy reverso para a aplicação. Tudo conecta, passa telnet, consigo pingar do proxy reverso para a aplicação. Esse tipo de NAT no pfsense tem alguma configuração especial a fazer ou só um Port Forward ja era pra funcionar?
-
N a regra de NAT, você pode colocar "Pure NAT" nas opções para testar.