Roteamento avançado



  • Pessoa, bom dia.

    Estou usando pfsense para criar uma rota paliativa para a solucionar um problema que tive em um outro firewall. O que necessito é o publicar um serviço na web, fazendo com que o port forwading na wan redirecione o trafego para um proxy reverso nginx e esse proxy reverso por sua vez se comunique a aplicação de fato. Eu ja configurei tudo até o proxy reverso e até lá funciona. Mas do proxy reverso para o servidor web não consigo comunicar.

    Eu to usando pra chegar do firewall até o proxy reverso um ip virtual, pois esse proxy está em uma rede DMZ. Por este motivo a unica forma que achei foi criar um virtual ip. Funciona pra essa primeira comunicação.

    Pra vcs entenderem melhor a rede está configurar assim.

    WAN - x.x.x.x
    LAN - 10.0.0.1
    DMZ - 10.20.20.1 (Virtual IP 10.30.30.1)

    O problema é quando a conexão vem do proxy reverso 10.30.30.2 para o servidor de aplicação 10.20.20.2. A informação não volta. Eu vi isso pelo packet capture.

    Esse servidor web tem dois default gateway configurados pelas rotas avançadas do ip route 2 do linux. No meu caso preciso disso, não posso mudar pq está em produção. No gateway default da tabela padrão é tratado todo acesso interno e das vlans que acessam esse server. Nessa segunda tabela há um gateway default que é o 10.20.20.1 (DMZ do pfsense) que é por onde volta a informação que chega pelo pfsense (Trafego da internet). Inclusive atualmente está funcionando a aplicação pra internet através de um port forwarding com estas configurações, só que direto no server, sem passar pelo proxy. Mas preciso adicionar o proxy reverso por segurança.

    Meu palpite para este problema é que não estou sabendo configurar este Virtual IP. Sei lá de alguma forma o pfsense não consegue devolver a informação para o proxy reverso pois o IP virtual não teria um rota configura visto que é um IP ALIAS.

    Ou talvez, alguma coisa nesse roteamento do servidor de aplicação está impedindo a informação de voltar. Acho difícil, pelo fato de estar atualmente funcionando sem o proxy, e o proxy por sua vez acessa a aplicação no endereço 10.30.30.2 como se fosse um acesso pela internet, por exemplo.

    Não há bloqueio nos servidores, disso que já me certifiquei.



  • Esse IP 10.30.30.1 é apenas um alias virtual?

    Não há uma subrede 10.30.30 no PF?

    Acho que aí está o problema.

    Exemplo:

    PF 20.1        –----    Reverso 20.2  /  30.1

    Criar uma rota que tudo que for com destino a rede 30, vá para o IP 20.2.



  • Opa amigão, resolvi colocando o ip do proxy reverso na faixa da DMZ ao invés de criar aquele IP Virtual.

    Agora estou com outro problema. Não está funcionando bem o redirecionamento do proxy reverso para a aplicação. Tudo conecta, passa telnet, consigo pingar do proxy reverso para a aplicação. Esse tipo de NAT no pfsense tem alguma configuração especial a fazer ou só um Port Forward ja era pra funcionar?



  • N a regra de NAT, você pode colocar "Pure NAT" nas opções para testar.