[РЕШЕНО]Перенаправление трафика на конкрk



  • Стоит PfSense к ней подключен инет через PPTP. Нужно перенаправить инет_трафик на определенный айпи адрес (без участвия прокси).
    Если можна что то такое сделать, то обьясните пожалуйста подробно.
    Локальная сеть 192.168.1.0/24
    Трафик пересылать например на вот эти адреса 192.168.1.3 i 192.168.1.4
    Зарание спасибо!



  • Network Address Translation



  • @deutsche:

    Network Address Translation

    Если можна покажи пожалуйста на конкретном примере.



  • http://ru.wikipedia.org/wiki/NAT
    Еще круче, даже с анимацией! =) http://www.ciscolab.ru/security/27-how_nat_work.html
    плюс сходить на | почитать курсы по основам сетевых технологий.
    Еще стоит заглянуть в документацию: http://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense%3F (если что, есть переводчик)
    Ну а потом уже можно идти в интерфейс pfsense Firewall - NAT и жать там плюсик…

    PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском...



  • @Mr.Aloof:

    http://ru.wikipedia.org/wiki/NAT
    Еще круче, даже с анимацией! =) http://www.ciscolab.ru/security/27-how_nat_work.html
    плюс сходить на | почитать курсы по основам сетевых технологий.
    Еще стоит заглянуть в документацию: http://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense%3F (если что, есть переводчик)
    Ну а потом уже можно идти в интерфейс pfsense Firewall - NAT и жать там плюсик…

    PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском...

    Я понимаю как транслируются адреса, но у меня не получается это сделать. Может кто на примере показать…



  • Вот как я пропиисал.




  • Не повезло вам, PPTP особый протокол. Он использует одновременно 1723 TCP порт и GRE протокол. Нужно прокинуть еще и GRE. Однако тоже не факт что заработает, тк PPTP на pfsense - больная тема

    Ха, только заметил что Ext.port range - 80. Такая настройка однозначно неверная. Непонятно чего вы этим хотите добиться. Объясните нормально задачу,с нарисуйте схему.



  • @Mr.Aloof:

    PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском…

    +5
    Я не думаю, что pfSense для новичков в сетевых делах.



  • @deutsche:

    Не повезло вам, PPTP особый протокол. Он использует одновременно 1723 TCP порт и GRE протокол. Нужно прокинуть еще и GRE. Однако тоже не факт что заработает, тк PPTP на pfsense - больная тема

    Ха, только заметил что Ext.port range - 80. Такая настройка однозначно неверная. Непонятно чего вы этим хотите добиться. Объясните нормально задачу,с нарисуйте схему.

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
    Вот мой конфиг

    $ ifconfig
    le0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    	options=8 <vlan_mtu>ether 00:0c:29:01:98:f5
    	inet6 fe80::20c:29ff:fe01:98f5%le0 prefixlen 64 scopeid 0x1 
    	inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
    	media: Ethernet autoselect
    	status: active
    le1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    	options=8 <vlan_mtu>ether 00:0c:29:01:98:ff
    	inet6 fe80::20c:29ff:fe01:98ff%le1 prefixlen 64 scopeid 0x2 
    	inet 172.17.133.49 netmask 0xfffffc00 broadcast 172.17.135.255
    	media: Ethernet autoselect
    	status: active
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
    	inet6 ::1 prefixlen 128 
    	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
    	inet 127.0.0.1 netmask 0xff000000 
    enc0: flags=0<> metric 0 mtu 1536
    pfsync0: flags=41 <up,running>metric 0 mtu 1460
    	pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
    pflog0: flags=100 <promisc>metric 0 mtu 33204
    ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
    	inet6 fe80::20c:29ff:fe01:98f5%ng0 prefixlen 64 scopeid 0x7 
    	inet 10.100.24.106 --> 172.17.0.1 netmask 0xffffffff</up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></vlan_mtu></up,broadcast,running,simplex,multicast></vlan_mtu></up,broadcast,running,simplex,multicast> 
    


  • @freak999:

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)

    Это делается правилами на интерфейсе LAN.



  • @Evgeny:

    @Mr.Aloof:

    PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском…

    +5
    Я не думаю, что pfSense для новичков в сетевых делах.

    Я быстро учусь, и есть где тэстить)



  • @Evgeny:

    @freak999:

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)

    Это делается правилами на интерфейсе LAN.

    Тоесть NAT мне не нужен?



  • Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
    

    Варианта 2.
    1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
    2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.



  • @dvserg:

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
    

    Варианта 2.
    1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
    2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.

    Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.



  • Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.

    А, ну да.. ТЗ не внимательно читал. Ну мне простительно - на уме сплошные прокси и все, что с ними связано.

    ЗЫ копать в 3 варианте.



  • @DasTieRR:

    @dvserg:

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
    

    Варианта 2.
    1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
    2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.

    Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.

    Этот вариант мне более приемлемый, если можно поподробнее…



  • @freak999:

    @DasTieRR:

    @dvserg:

    Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
    

    Варианта 2.
    1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
    2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.

    Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.

    Этот вариант мне более приемлемый, если можно поподробнее…

    Стандартно настраиваем NAT / Nat reflection. А на LAN создаем правила только для указанных IP, остальным все запретить. (По первоначальной настройке читать WIKI и форум).



  • Сижу разбираюсь, но пока нет результатов((



  • А в "Firewall: NAT: Outbound" надо что топрописывать или только в "Firewall: NAT: Port Forward"?



  • @freak999:

    А в "Firewall: NAT: Outbound" надо что топрописывать или только в "Firewall: NAT: Port Forward"?

    В нате есть дефолтное правлио, которое натит лан, дополнительно в стандартной ситуации добавлять ничего не надо, а по сабжу:

    в правилах файервола
    firewall - источник поле source - single ip address - указать IP которому можно в инет, порт назначения 80, либо создать алиас, куда забить список IP адресов, которым можно, тогда в поле алиас указать имя этих разрешённых адресов.

    Ну и правило в самом низу - всем всё запретить, иначе пользователи вылезут в инет через дефолтное правило allow lan subnet to any

    P.S. Ещё не забыть разрешить ICMP и ДНС, можно для всех.



  • @DasTieRR:

    @freak999:

    А в "Firewall: NAT: Outbound" надо что топрописывать или только в "Firewall: NAT: Port Forward"?

    В нате есть дефолтное правлио, которое натит лан, дополнительно в стандартной ситуации добавлять ничего не надо, а по сабжу:

    в правилах файервола
    firewall - источник поле source - single ip address - указать IP которому можно в инет, порт назначения 80, либо создать алиас, куда забить список IP адресов, которым можно, тогда в поле алиас указать имя этих разрешённых адресов.

    Ну и правило в самом низу - всем всё запретить, иначе пользователи вылезут в инет через дефолтное правило allow lan subnet to any

    P.S. Ещё не забыть разрешить ICMP и ДНС, можно для всех.

    Вообщем это все настраивается в Firewall: Rules LANа как  я понимаю



  • Вообщем это все настраивается в Firewall: Rules LANа как  я понимаю

    да



  • Так здесь у меня по дефолту ничего нету "Firewall: NAT: Port Forward"…



  • @freak999:

    Так здесь у меня по дефолту ничего нету "Firewall: NAT: Port Forward"…

    Вам нужен NAT
    http://ru.doc.pfsense.org/index.php/Автоматическая_генерация_правил_NAT



  • Сори за то что недаю вам покоя.
    Наверное мне это не под силу.
    Буду себе потихоньку сам мудрить.



  • @freak999:

    Сори за то что недаю вам покоя.
    Наверное мне это не под силу.
    Буду себе потихоньку сам мудрить.

    Портфорвард оставьте в покое он вам не нужен.
    Вот тут Firewall: NAT: Outbound делается либо автоматически либо вручную правила.
    Вот тут Firewall: Rules/WAN разрешаем

    • LAN net * * * *
      Вот тут Firewall: Rules/LAN разрешаем
      ICMP * * * * *
      TCP/UDP * * * 53 (DNS) *
      TCP/UDP 192.168.1.10 * * * *
      TCP/UDP 192.168.1.20 * * * *
      TCP/UDP 192.168.1.30 * * * *


  • Спс большое, потом попробую и отпишусь.



  • Вообщем все сделал как ты написал. Но инет не раздается. У меня еще прокси паралельно работает, оно же не будет давать сбой?
    Вот скрины.

    Только на втором скрине не стоит LAN net, а на pfsense поставил(не тот скрин кинул)
    






  • Последнее правило лишнее.
    Источником (Source) считается инициатор соединения (компьютер за NAT'ом pfsense), а конечная точка - назначение (Destination). Данные всегда идут в обе стороны, неважно кто ининциатор.



  • @deutsche:

    Последнее правило лишнее.
    Источником (Source) считается инициатор соединения (компьютер за NAT'ом pfsense), а конечная точка - назначение (Destination). Данные всегда идут в обе стороны, неважно кто ининциатор.

    И что мне тогда нужно сделать. Удалить последнее правило в Firewall: Rules/LAN и все?



  • Да, оно не нужно.



  • @deutsche:

    Да, оно не нужно.

    Как это не нужно, Ему нужно определенные IP напрямую разрешить.
    Правила NAT еще покажите.



  • Я имел в виду последнее правило на wan



  • @dvserg:

    @deutsche:

    Да, оно не нужно.

    Как это не нужно, Ему нужно определенные IP напрямую разрешить.
    Правила NAT еще покажите.

    Правила НАТ я ваще не трогал.
    В Firewall: NAT: Port Forward - пусто
    В Firewall: NAT: 1:1 - также пусто
    А в Firewall: NAT: Outbound стоит "Automatic outbound NAT rule generation (IPsec passthrough)"



  • Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    Сделай так же, только для раздела, где разрешён доступ на 80 порт, исправть истоник lan net на адрес твоего IP (потом алиса сделаешь)



  • @DasTieRR:

    Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    Сделай так же, только для раздела, где разрешён доступ на 80 порт, исправть истоник lan net на адрес твоего IP (потом алиса сделаешь)

    Это мне надо прописывать в Firewall: Rules/LAN?
    А как понять "где разрешён доступ на 80 порт"?



  • @DasTieRR:

    Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    А зачем тебе последнее правило? (просто любопытно)



  • @Evgeny:

    @DasTieRR:

    Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    А зачем тебе последнее правило? (просто любопытно)

    Паранойя трудно лечиться :)
    А вообще - просто на всякий случай (сейчас там block * any to any)



  • @freak999:

    @DasTieRR:

    Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    Сделай так же, только для раздела, где разрешён доступ на 80 порт, исправть истоник lan net на адрес твоего IP (потом алиса сделаешь)

    Это мне надо прописывать в Firewall: Rules/LAN?
    А как понять "где разрешён доступ на 80 порт"?

    Да, в Firewall: Rules/LAN

    Делаешь все правила по скринам, когда доходишь до правила с HTTP трафиком, меняешь источник с lan net на нужный IP



  • @DasTieRR:

    @freak999:

    @DasTieRR:

    Вот ссылка на картинку с правилами,
    http://forum.pfsense.org/index.php?action=dlattach;topic=24700.0;attach=8988;image

    Сделай так же, только для раздела, где разрешён доступ на 80 порт, исправть истоник lan net на адрес твоего IP (потом алиса сделаешь)

    Это мне надо прописывать в Firewall: Rules/LAN?
    А как понять "где разрешён доступ на 80 порт"?

    Да, в Firewall: Rules/LAN

    Делаешь все правила по скринам, когда доходишь до правила с HTTP трафиком, меняешь источник с lan net на нужный IP

    Все правила прописал, но это походу не все еще да?



Locked