[РЕШЕНО]Перенаправление трафика на конкрk
-
Стоит PfSense к ней подключен инет через PPTP. Нужно перенаправить инет_трафик на определенный айпи адрес (без участвия прокси).
Если можна что то такое сделать, то обьясните пожалуйста подробно.
Локальная сеть 192.168.1.0/24
Трафик пересылать например на вот эти адреса 192.168.1.3 i 192.168.1.4
Зарание спасибо! -
Network Address Translation
-
-
http://ru.wikipedia.org/wiki/NAT
Еще круче, даже с анимацией! =) http://www.ciscolab.ru/security/27-how_nat_work.html
плюс сходить на | почитать курсы по основам сетевых технологий.
Еще стоит заглянуть в документацию: http://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense%3F (если что, есть переводчик)
Ну а потом уже можно идти в интерфейс pfsense Firewall - NAT и жать там плюсик…PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском...
-
http://ru.wikipedia.org/wiki/NAT
Еще круче, даже с анимацией! =) http://www.ciscolab.ru/security/27-how_nat_work.html
плюс сходить на | почитать курсы по основам сетевых технологий.
Еще стоит заглянуть в документацию: http://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense%3F (если что, есть переводчик)
Ну а потом уже можно идти в интерфейс pfsense Firewall - NAT и жать там плюсик…PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском...
Я понимаю как транслируются адреса, но у меня не получается это сделать. Может кто на примере показать…
-
Вот как я пропиисал.
-
Не повезло вам, PPTP особый протокол. Он использует одновременно 1723 TCP порт и GRE протокол. Нужно прокинуть еще и GRE. Однако тоже не факт что заработает, тк PPTP на pfsense - больная тема
Ха, только заметил что Ext.port range - 80. Такая настройка однозначно неверная. Непонятно чего вы этим хотите добиться. Объясните нормально задачу,с нарисуйте схему.
-
PS: Народ, вы издеваетесь? Если вы этого не знаете, для чего вам pfSense? Поставьте какой-нибудь D-link DIR-615 он стоит копейки, у него есть инструкция на русском…
+5
Я не думаю, что pfSense для новичков в сетевых делах. -
Не повезло вам, PPTP особый протокол. Он использует одновременно 1723 TCP порт и GRE протокол. Нужно прокинуть еще и GRE. Однако тоже не факт что заработает, тк PPTP на pfsense - больная тема
Ха, только заметил что Ext.port range - 80. Такая настройка однозначно неверная. Непонятно чего вы этим хотите добиться. Объясните нормально задачу,с нарисуйте схему.
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Вот мой конфиг$ ifconfig le0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:0c:29:01:98:f5 inet6 fe80::20c:29ff:fe01:98f5%le0 prefixlen 64 scopeid 0x1 inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 media: Ethernet autoselect status: active le1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:0c:29:01:98:ff inet6 fe80::20c:29ff:fe01:98ff%le1 prefixlen 64 scopeid 0x2 inet 172.17.133.49 netmask 0xfffffc00 broadcast 172.17.135.255 media: Ethernet autoselect status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet 127.0.0.1 netmask 0xff000000 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=100 <promisc>metric 0 mtu 33204 ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500 inet6 fe80::20c:29ff:fe01:98f5%ng0 prefixlen 64 scopeid 0x7 inet 10.100.24.106 --> 172.17.0.1 netmask 0xffffffff</up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></vlan_mtu></up,broadcast,running,simplex,multicast></vlan_mtu></up,broadcast,running,simplex,multicast>
-
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Это делается правилами на интерфейсе LAN.
-
-
-
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Варианта 2.
1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер. -
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Варианта 2.
1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.
-
Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.
А, ну да.. ТЗ не внимательно читал. Ну мне простительно - на уме сплошные прокси и все, что с ними связано.
ЗЫ копать в 3 варианте.
-
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Варианта 2.
1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.
Этот вариант мне более приемлемый, если можно поподробнее…
-
Одна карта у меня для инета, вторая смотрит в локальную сеть. Нужно определенным машинам дать доступ в интернет(без использования прокси)
Варианта 2.
1. Используем прозрачный прокси squid с указанием избранных машин в опции "Bypass proxy"
2. Используем непрозачный прокси squid и на LAN разрешаем прохождение напрямую в интернет только для избранных машин. Остальные будут вынуждены настраивать себе прокси-сервер.Справедливости ради - есть и 3й вариант - просто разрешить на файерволе доступ только определённым IP.
Этот вариант мне более приемлемый, если можно поподробнее…
Стандартно настраиваем NAT / Nat reflection. А на LAN создаем правила только для указанных IP, остальным все запретить. (По первоначальной настройке читать WIKI и форум).
-
Сижу разбираюсь, но пока нет результатов((
-
А в "Firewall: NAT: Outbound" надо что топрописывать или только в "Firewall: NAT: Port Forward"?
-
А в "Firewall: NAT: Outbound" надо что топрописывать или только в "Firewall: NAT: Port Forward"?
В нате есть дефолтное правлио, которое натит лан, дополнительно в стандартной ситуации добавлять ничего не надо, а по сабжу:
в правилах файервола
firewall - источник поле source - single ip address - указать IP которому можно в инет, порт назначения 80, либо создать алиас, куда забить список IP адресов, которым можно, тогда в поле алиас указать имя этих разрешённых адресов.Ну и правило в самом низу - всем всё запретить, иначе пользователи вылезут в инет через дефолтное правило allow lan subnet to any
P.S. Ещё не забыть разрешить ICMP и ДНС, можно для всех.