Konfiguracja NAT 1:1 i zwykłego nat
-
Witajcie,
Mam taki problem:
1. Sieć wewnętrzna Lan z kilkoma serwerami M.in mail srv i www
2. Pfsense na wirtualce z 3 interfejsami 1xlan 2xwan (różne pule, ten sam he, ovh failover IP)
Problem jest taki:
Chciałbym z jednego IP publicznego kierować na srv www (nat 1:1?), a z drugiego przez zwykły nat na mail i inne.
Jak to zrobić? -
Opisałeś to tak chaotycznie że odpowiedzi to się nie doczekasz. Nie wiadomo czy masz 1 czy 2 PF-y.
To zdanie przełóż na nasze "Chciałbym z jednego IP publicznego kierować na srv www (nat 1:1?), a z drugiego przez zwykły nat na mail i inne." -
ok, więc inaczej:
1. mam z ovh zakres ip 53.123.123.100/30 (53.123.123.100, .101,.102,103)
2. na dedyku na vmware mam na razie 3 maszyny ale będzie więcej (10.10.10.100, 10.10.10.101, 10.10.10.102, …)
3. chciałbym się zapytać czy można uruchomić do nat 1:1 aby przekierować połączenia przychodzące z np 53.123.123.101 --> 10.10.10.101, 53.123.123.102 --> 10.10.10.102, itd. czy jest jakiś lepszy sposób aby uzyskać taką konfigurację niż nat 1:1? Nie chciał bym trzymać wszystkich usług np http czy smtp na jednym ip, z różnych względów. jak skonfiguraowć pfsense, abyuzyskać taką konfigurację
4. do pozostałych serwerów chciałbym wykorzystać adres publiczny np. 53.123.123.103 i port forwarding, aby roozdzielić ruch z jednego ip na pozostałe usługi świadczone przez serwery na maszynach wirtualnych.
w załączeniu rysunek, który może coś więcej wyjaśni.
-
ok, wydaje się, że sobie poradziłem z pierwszym adresem po przeczytaniu dwóch książek i tutoriala https://forum.pfsense.org/index.php?topic=13507.0
Oto w razie czego jak działałem:
1. dodałem na wirtualizatorze dodatkowy interfejs z adresem Mac wygenerowaneym dla FailOver IP w panelu dostawcy (OVH)
2. dodałem nowy interfejs w pfsense: Interfaces–>(assign) --> u mnie było to OPT1.-
ipv4 configuration type: Static IPv4
-
ipv6 configuration type: none
-
mac address: na wygenerowany w pkt 1.
-
ipv4 address: adres publiczny przypisany do MAC-a z pkt 1. maska /32
-
IPv4 Upstream Gateway: None
3. dodałem VirtualIP:
-
Type: Proxy ARP
-
Interface: WAN
-
Address type: Single address
-
Address(es): publiczny adres IP przypisany ten z pkt 1. z maską /32
-
Description: jakiś opis - dowolny
4. Firewall –> NAT --> 1:1
-
Interface: OPT1 –> nazwa interfejsu z pkt 2
-
External subnet IP: Publiczny adres przypisany do interfejsu OPT1
-
Internal IP: Single host: Ip serwera w sieci wewnętrznej na który ma być kierowany ruch z publicznego IP
5. Firewall –> Rules --> OPT1 (lub inny patrz pkt 2.)
Tutaj dodałem ogólną regułę do testów połączenia, ale została zmieniona jak okazało się, że wszystko działa.-
Action: Pass
-
Interface: OPT1
-
Source: any
-
Destination: Single host or alias - IP serwera w sieci wewnętrznej do którego być kierowany ruch
-
Destination Port Range: From: any, To: any
Jak pisałem wcześniej lepiej ustawić ściśle porty, na których będą udostępnione usługi, gdyż pełne udostępnienie jest mało bezpieczne. Niemniej na chwilę do testu działania jak najbardziej ok.
6. Zapisz, Zastosuj zmiany i powinno działać.Btw. Odpowiedź na pytanie czy NAT 1:1 i port Forwarding mogą działać razem - TAK mogą.
-