Port forwarding на хост доступный по маршруту




  • Вопрос в том как написать форвардинг с Public IP:443 на 172.16.101.100:443.
    Если написать в лоб то не работает. Похоже что пакет не пакуется в нат когда выходит из opt1 интерфейса.
    Написаны 2 правила для outbound NaT
    Wan->any->interface IP
    opt1->any->interface IP
    на firewall any->any на всех интерфейсах.
    Помогите кто нибудь понять как это все работает чтобы завернуть такой форвардинг.((





  • Я уже нашел нечто похожее в англоязычной ветке. И там вопрос в том что надо делать двойное преобразование. В iptables это сделать можно. но как это сделать в Pf.
    http://forum.pfsense.org/index.php/topic,51288.0.html
    Смысл в том что в пакете попадая под форвардинг меняется ip адрес назначения но при этом не меняется ip источника. В итоге хост на который  форвардинг отвечает по своему default gateway и получаются разные пути прохождения пакета.
    И такого не происходит если форвардить на хост у которого шлюзом стоит тот же маршрутизатор.

    ВОПРОС: как поменять одновременно Source и Destination Ip???



  • В FAQ это есть на примере RDP. http://forum.pfsense.org/index.php/topic,40376.msg208841.html#msg208841

    ВОПРОС: как поменять одновременно Source и Destination Ip???

    Dest меняется портфорвардингом, а Src с помощью Nat .



  • @pochkaev:

    Вопрос в том как написать форвардинг с Public IP:443 на 172.16.101.100:443.

    Поясните.
    У вас второй LAN интерфейс OPT1 10.1.1.0/24, или это второй провайдер?
    Вы ручками добавили NAT для подсети 10.1.1.0/24?
    Как в подсети 10.1.1.0/24 "живет" 172.16.101.100 ?
    И что обозначает .1 .2 .33 ?



  • 2 pochkaev
    А натирование сетки 10.1.1.0/24 шибко нужно?
    Если я правильно понимаю вашу схему, то я решил подобную задачу в октябре. Правда вместо сенса были микротики.



  • Все правильно вы говорите… делал и до прочтения фака и после. Все равно пока что не работает. Умом понимаю что все должно быть ок, но все равно не работает. Ни к второму маршрутизатору(похоже 1841) ни к серваку доступа не имею - сетка провайдера. Поэтому соберу в пн на работе тестовую схему попробую там зарулить.

    Поясните.
    У вас второй LAN интерфейс OPT1 10.1.1.0/24, или это второй провайдер?
    Вы ручками добавили NAT для подсети 10.1.1.0/24?
    Как в подсети 10.1.1.0/24 "живет" 172.16.101.100 ?
    И что обозначает .1 .2 .33 ?

    .1, .2 … -ip адреса устройств сети которая написана тем же цветом.
    Для ната 2 манульных правила
    Wan->any->any
    opt1->any->any
    как в подсети живет 172.16.101.100  я без понятия т.к. он на другом интрефейсе маршрутизатора провайдера.

    А натирование сетки 10.1.1.0/24 шибко нужно?

    Нужно! У провайдера на маршрутизаторе ясный пень нету маршрутов на мои сети (192.168.1.0/24)



  • @pochkaev:

    Для ната 2 манульных правила
    Wan->any->any
    opt1->any->any
    как в подсети живет 172.16.101.100  я без понятия т.к. он на другом интрефейсе маршрутизатора провайдера.

    Мда. Ну если вы не знаете какова структура сети…

    Попробуйте так http://thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html



  • @dr.gopher:

    @pochkaev:

    Для ната 2 манульных правила
    Wan->any->any
    opt1->any->any
    как в подсети живет 172.16.101.100  я без понятия т.к. он на другом интрефейсе маршрутизатора провайдера.

    Мда. Ну если вы не знаете какова структура сети…

    Попробуйте так http://thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html

    есть просьба не пишите в этой теме!
    по схеме видно какая структура сети!



  • Всем спасибо все работает. Как описано в FAQе.
    Проблемы были на маршрутизаторе провайдера-как только видел пакет о нат трансляции обрывал сессию…
    так что Pfsense по прежнему лучший))


Log in to reply