Перенаправление запроса PFsense



  • Вопрос следующего характера. Каким образом перенаправить запрос на другой IP? Есть сеть, в ней шлюз PFsense, в настройках сетевой он прописан, так же есть еще один шлюз для спец. программы, по нему она получает данные, постоянно менять шлюзы в настройках не вариант. Хотелось бы получить следующее, шлюз в сетевой PFsense, программа посылает запрос, а Pfsene уже перекидывает ее запрос на тот шлюз который нужен программе. Подскажите как реализовать?



    1. заводим шлюз на pf
    2. открываем рулез на интерфейсе
    3. пишем рулес, указываем источник и адресат
    4. разкваем доп настройки в правиле, указываем гейт выбором из списка.
    5. профит.


  • Всё это проделывал, но как то без результата. Завел шлюз LAN. Вот рулс писать в LAN или WAn? Пробовал и так и так, без результата. А вот источник надо прописывать того кто посылает запрос, а адресат кому? Так?



  • Вот можете на примере пояснить может я не до понимаю чего. Есть Клиент с ip 192.168.1.1, есть pfsense 192.168.1.200, и есть тот шлюз 192.168.1.100, так же забыл сказать что в программе прописан адрес и порт 10.10.11.1:4433



  • Делаю Tracert до 10.10.11.1 Сначала идет на PFsense потом сразу на шлюз провайдера, а не на 192.168.1.00



  • дайте скрин рулеса.
    Применять рулес нужно к интерфейсу pf-а, на который приходит пакет. Как вы думаете, это LAN или WAN ?
    Можно ещё статик маршрутизацию прописать в pf-e



  • 0_1532488576605_rules.jpg 8.253 это клиент, 10.10.11.1 это туда куда пытается программа подключиться, baza_obl (192.168.8.72) это шлюз



  • а почему вы думаете что tracert (UDP/ICMP) должен показывать маршрут, если у вас рулесе указано TCP ?



  • я изменил на any. 0_1532488906958_rules.jpg



  • tracert что говорит?
    статус шлюза PF как показывает? зелёный?

    • я уверен, что если сделаете сниф, то будет видно, что траф Улетает.
      А вы уверены, что 10.10.11.1 знает про вашу сеть 192.168.8.0/24? А то надо бы погомыриться с NAT (наверное...)

    А если подумать, приходит пакет на внешний интерфейс шлюза 8.72..... как он попадает на LAN ? надо бы снифать на нём. А то и NAT тут нужно смотреть, и маршрутизацию, и снифать



  • Tracert после PFsense сразу идет на шлюз провайдера и всё. Статут зеленый. По поводу 10.10.11.1 да, т.к если прописать вместо pfSensa шлюз 8.72, то всё работает. Суть в том, что пакет даже не идет до 8.72, он сразу с PFsense идет на провайдера и всё



  • правило поднимите вверх ёпт.
    И обратите внимание, у вас по anti-lockout рулю какие бешеные цырфы, что то не нормально.



  • Поднял заработало. Спасибо вам большое. А anti-lockout за что отвечает?



  • посмотрите внимательно на условия и подумайте. за доступ к pf-у отвечает.



  • Спасибо. Понять не могу только с чем это связанно, от одного клиента постоянно идет на pfsense на 443 порт.



  • Постоянно FIN_WAIT_2:FIN_WAIT_2. Вирусы?



  • Добрый.

    И обратите внимание, у вас по anti-lockout рулю какие бешеные цырфы, что то не нормально.

    1. Сменить порт веб-морды пф на что-то >10000 (напр., 20143).
    2. Создать правило fw на ЛАН, где в src - ваш локальный статический ip ,в dst - локальный ip пф и порт с номером выше. Поставить это правило выше всех.
    3. Отключить anti-lockout правило.


  • Сделал как вы описали, но доступ к интерфейсу все равно есть у всех. если зайти на https://PF:222220_1532651598580_gjhn.jpg



  • Добрый.

    @ler0i
    Всмотритесь внимательно в правила fw на ЛАН. И подумайте почему.