Перенаправление трафика на другой адрес

werter

@glifed
Не получится без стороннего хоста.
На микроте такое точно возможно, но стоит ли оно того.

Konstanti

@glifed
Здр
Что мешает создать , к примеру , IPSEC туннель между PF и проблемным клиентом . И весь трафик от этого клиента пустить через этот туннель , включая трафик на порту 12000 ?
Как Вы и хотите :
1 уйдете от Win
2 для решения задачи будет использоваться PF

werter

@konstanti said in Перенаправление трафика на другой адрес:

И весь трафик от этого клиента пустить через этот туннель , включая трафик на порту 12000 ?

Точно.
Только не весь, а к проблемному ip онли.
ТС хочет без доп. телодвижений ,как я понял. Возможно, у него 100500 клиентов и каждому туннель городить - это не комильфо.

werter

@glifed

При обращении на pfsence по порту 12000 переадресовывать трафик на Сервис порт 12000

А что если:

1. Проброс с вана на localhost\локал. ip пф-а и порт 12000
2. Правило порт форв на ЛАН: все что приходит на 127,0,0,1:12000 или локал. ip-пф:12000 - редирект на x.x.x.x:12000

Только с протоколом определитесь - tcp или udp.

glifed

@werter обязательно попробую. К сожалению рессиверы не поддерживают ни VPN и IPsec

Konstanti

@glifed
Пробуйте делать так
1 создаете правило Port Forward

2 переводите NAT Outbound в ручной режим ( Manual mode )

3 создаете вот такое правило исходящего NAT

пробуете установить соединение

в результате , tcpdump должен показать приблизительно такое движение пакетов
1.99->1.120->15.6
15.6->1.120->1.99

где 192.168.1.99 - мой комп
192.168.1.120 - тестовый PF
192.168.15.6 - некое устройство ( не принадлежащее ни к одной сети PF - аналог Вашего 91.x.x.x)

[2.4.4-RELEASE][admin@pfSense.localdomain]/root: tcpdump -netti em0 tcp and port 8089
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
1640511573.103801 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 78: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [S], seq 1386578168, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 704326470 ecr 0,sackOK,eol], length 0
1640511573.103966 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 78: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [S], seq 1386578168, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 704326470 ecr 0,sackOK,eol], length 0
1640511573.104435 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 74: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [S.], seq 3930832040, ack 1386578169, win 14480, options [mss 1460,sackOK,TS val 637910352 ecr 704326470,nop,wscale 4], length 0
1640511573.104519 08:00:27:02:c8:c1 > 90:9c:4a:c0:23:ba, ethertype IPv4 (0x0800), length 74: 192.168.1.120.8089 > 192.168.1.99.55084: Flags [S.], seq 3930832040, ack 1386578169, win 14480, options [mss 1460,sackOK,TS val 637910352 ecr 704326470,nop,wscale 4], length 0
1640511573.107246 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 66: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [.], ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 0
1640511573.107316 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 66: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [.], ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 0
1640511573.107324 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 583: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [P.], seq 1:518, ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 517
1640511573.107366 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 583: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [P.], seq 1:518, ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 517
1640511573.107640 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 66: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [.], ack 518, win 1086, options [nop,nop,TS val 637910352 ecr 704326478], length 0
1640511573.107697 08:00:27:02:c8:c1 > 90:9c:4a:c0:23:ba, ethertype IPv4 (0x0800), length 66: 192.168.1.120.8089 > 192.168.1.99.55084: Flags [.], ack 518, win 1086, options [nop,nop,TS val 637910352 ecr 704326478], length 0
1640511573.118192 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 1289: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [P.], seq 1:1224, ack 518, win 1086, options [nop,nop,TS val 637910353 ecr 704326478], length 1223

werter

@konstanti
Коллега, почему у вас такой старый пф?
Это что-то тестовое?

Konstanti

@werter
Есть замечательное выражение : " Механик , не мешай машине работать " .

Отлично все функционирует для моих задач - тем более , что это тестовая машинка .
А так , для понимания , Up time рабочей лошадки

все работает без сбоев . Смысла в обновлении для меня нет никакого

werter

@konstanti
Я бы не сказал, что в релизах новее вашего мало полезного.

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5.html
https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1.html
https://docs.netgate.com/pfsense/en/latest/releases/2-5-0.html
И это еще не все релизы.

Там сотни исправлений и десяток из них точно прилично-важные.
Не раз и не два сталкивался здесь, что у людей проблемы на старых релизах, а после обновления все становилось ок.

Зы. А uptime - такое себе. Я специально раз в неделю по крону пф в ребут отправляю. Считаю, что полезно (сброс зависших сессий etc).

glifed

@konstanti Спасибо. Все заработало так как нужно!