[SOLVED] - Routing anhand der eingegebenen Domain
-
Hallo,
ich wusste leider nicht, wie ich es anders betitteln sollte, aber meine Anfrage ist eigentlich ganz simpel.
Ich möchte, dass die pfsense bei eingehenden Traffic am WAN Interface (eine IP) nach eingegeben Domains routet.
Beispiel:
WAN-Interface mit Gateway und einer festen IP. 2 Domains. blubb1.blubbblubb.de und blubb2.blubbblubb.de beide Domain haben per A-Record die feste IP erhalten. blubb1 soll dabei in Subnetz1 und blubb2 in Subnetz2 geroutet werden.Ist verständlich was ich meine?
Ich habe schon versucht mit Aliasen zu arbeiten, aber er löst da scheinbar die Domain in eine IP auf, weshalb er den ersten match nur aktzeptiert…
Vielen Dank.
-
Du meinst, nach Zieldomains routen, nehme ich an?
Die pfSense arbeitet maximal im Layer 3, da gibt es keine Domains. Und wenn du nur eine externe IP hast, besteht keine Möglichkeit, die Domains im Hostheader des bspw. HTTP Protokolls im Layer 3 zu unterscheiden.
Dafür müsstest du einen Proxy installieren, der das kann. Das Paket HA-Proxy wäre dafür geeignet, das arbeitet u.a. auch mit dem HTTP Protokoll.
-
Hallöchen,
Die pfSense arbeitet maximal im Layer 3, da gibt es keine Domains. Und wenn du nur eine externe IP hast, besteht keine Möglichkeit, die Domains im Hostheader des bspw. HTTP Protokolls im Layer 3 zu unterscheiden.
Ja logisch. Da hätte ich auch selbst drauf kommen können ::) ::) ::) Danke Dir!
Das mit dem Proxy mal ausprobieren.
Danke Dir
VG
Blubb1992 -
Hi, wie so oft hat viragomann recht!
Dafür müsstest du einen Proxy installieren, der das kann. Das Paket HA-Proxy wäre dafür geeignet, das arbeitet u.a. auch mit dem HTTP Protokoll.
Ich arbeite sehr viel mit dem HA-Proxy auf der pfSense. Daher möchte ich hier noch auf ein zwei Punkte hinweisen.
1. Bei httpS musst du wegen den Zertifikaten aufpassen. Bei 2 Hosts lohnt sich noch kein Wildcard Zertifikat. Aber ab einer gewissen Menge solltest du darüber nachdenken
2. Die pfSense ist ne Firewall. Sie KANN das was du beschrieben hast, es ist aber auch zu überlegen ob du eventuell das HA-Proxy oder apache / nginx mit reverse Proxy auf einen dedizierten Host in der DMZ installierst. Diese können dann die Anfragen via reverse proxy an andere interne Host leiten
3. Je nach dem was du hier veröffentlichen willst / welche Sicherheitsanforderungen du hast, solltest du über den Einsatz von mod-security nachdenken.
4. Bei Mod-security kann man ein Setup machen wo der ha-proxy auf der pfSense die Anfrage auf dem WAN entgegen nimmt, ALLE dann an den mod-security Server in der DMZ schiebt und dann von dort die "sauberen" Anfragen auf dem LAN Interface annimmt und an die internen Webserver weiter gibt. (gibt es hier im Forum gute Informationen zu).Gruß blex