Virtual Ip и их проброс дальше

Silencerun

сейчас ПФсенс висит непосредственно в локалке, т.к идет перестройка в сети. Физического разделения Провайдера и нашей сети нету, но пользователи ходят в инет через PFsens в инет. Идея заключается в разделении, но для этого нужно убрать за PFsens все 5 web-серверов.

сейчас сделана тестовая тачка на асп с веб серваком, правила для нее выглядят так:

WAN TCP * * 84.***.17.66 80 (HTTP) 192.168.1.14 80 (HTTP)

раздел виртуал ип выглядит так:

84.***.17.66/24 if alias Test Wan IP

вроде как все работает, кроме доступа по доменному имени, но на тест машине его не прикручено, это и понятно.

когда создаешь точно такое же правило для веб сервера с WAN ip и прикрученным доменным именем, из сети - не видно этот сайт, а редиректит на вэбморду ПФсенса, для этого нужно на ДНСе в локалке прописать ПТР ip\doman name? и ip внешний или внутренний?

или как-то по другому можно настроить проброс внешнего ip до внутреннего вебсервера?

dvserg

Настроить правила НАТ 1:1

Silencerun

@dvserg:

Настроить правила НАТ 1:1

Всё проще - NAT reflection enable

dvserg

@Silencerun:

@dvserg:

Настроить правила НАТ 1:1

Всё проще - NAT reflection enable

…но для этого нужно убрать за PFsens все 5 web-серверов.
...или как-то по другому можно настроить проброс внешнего ip до внутреннего вебсервера?

То-есть NAT reflection решило эти Ваши задачи?

Silencerun

@dvserg:

@Silencerun:

@dvserg:

Настроить правила НАТ 1:1

Всё проще - NAT reflection enable

…но для этого нужно убрать за PFsens все 5 web-серверов.
...или как-то по другому можно настроить проброс внешнего ip до внутреннего вебсервера?

То-есть NAT reflection решило эти Ваши задачи?

Firewall: NAT: Port Forward
Interface WAN
Protocol TCP
Destination 84.***.17.24
Redirect target IP 192.168.0.24
Redirect target port HTTP
NAT reflection enable

Firewall: Virtual IP Address:

Interface WAN
IP Address 84.***.17.24

т.е - да, можно считать что настроено было всё правильно, не хватало включенного обратного кольца, искали просто LoopBack, обычно это так называлось  ;)

Silencerun

@dvserg:

Настроить правила НАТ 1:1

Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?

Или 1:1 - это не аналог бриджа?!

dvserg

@Silencerun:

@dvserg:

Настроить правила НАТ 1:1

Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?

Или 1:1 - это не аналог бриджа?!

Можно и портфорвардом и 1:1, в любом случае доступ к сервисам настраивается правилами WAN. Одно отличие 1:1 от портфорварда - исходящие соединения от ваших серверов будут идти от имени WAN. Для WEB сервиса это не играет роли, а вот для FTP сервера очень даже важно.

Нат 1:1 это не бридж, это би-нат.
Кстати, вы выше писали, что находитесь в одной подсети с провайдером. Для серверов как раз можно было-бы сделать DMZ (другой вариант - без ната) и открыть только нужные порты на WAN. В этом случае ваши серверы как раз и были-бы "физически" телом в интернете, но контролируемым файрволом способом.

Silencerun

@dvserg:

@Silencerun:

@dvserg:

Настроить правила НАТ 1:1

Использование НАТ 1 к 1му считаем не приемлимым, т.к он открывает на сколько я понимаю все порты, а нужно только те на которых крутятся веб-сервера, а именно 80е. Зачем открывать ФТП, ССШ, и прочие прелести офиса во внешку?

Или 1:1 - это не аналог бриджа?!

Можно и портфорвардом и 1:1, в любом случае доступ к сервисам настраивается правилами WAN. Одно отличие 1:1 от портфорварда - исходящие соединения от ваших серверов будут идти от имени WAN. Для WEB сервиса это не играет роли, а вот для FTP сервера очень даже важно.

Нат 1:1 это не бридж, это би-нат.
Кстати, вы выше писали, что находитесь в одной подсети с провайдером. Для серверов как раз можно было-бы сделать DMZ (другой вариант - без ната) и открыть только нужные порты на WAN. В этом случае ваши серверы как раз и были-бы "физически" телом в интернете, но контролируемым файрволом способом.

Про бридж - я образно сказал. Действительно сейчас столкнулись с проблемой проброса ФТП, и ваша подсказка про 1 к 1 очень помогла. Спасибо.

Сейчас все настроим, протестируем, отпишусь как сделали. Вскорем еще запустим астериск :) это должно быть интересно.

Silencerun

Итак, продолжаем тему:

NAT 1:1 вообще не заработал с ФТП, ни в какую, даже в активном режиме не пускал.

Сейчас сделали следующее:

Destination: 84.***.17.21
Destination port range  from FTP to FTP
Redirect target IP  192.168.1.14
Redirect target port FTP
NAT reflection enable

Virtual IP:

Type  IP Alias
IP Address(es) 84.***.17.21/24

на фтп сервере прописан:

pasv_enable=YES
pasv_address=84.***.17.21

работает…НО в активном режиме. В пасиве отказывается подключатся.

отсюда возникает вопрос: раз не хочет работать

virtual IP Type ip Alias - было, где-то написано что выставить VIP CARP.
а вообщем решит ли это нашу проблему с подключением в пассивном режиме?!

1:1 NAT настраивался по http://shop.nativepc.ru/content/80-pfsense-7 пункт: 7.3.2.2.

werter

Как вариант в настройках ФТП-сервера явно указать какой дипазон портов использовать для пассива. И пробросить аналогично правила для ФТП.

Silencerun

@werter:

Как вариант в настройках ФТП-сервера явно указать какой дипазон портов использовать для пассива. И пробросить аналогично правила для ФТП.

делали rule TCP 10000-11000
на фтп прописано:

pasv_min_port=10000
pasv_max_port=11000

0 эмоций

werter

У меня в Firewall: Virtual IP Address: Edit : Type -  IP Alias и FTP прекрасно работает в пассиве.

Silencerun

@werter:

У меня в Firewall: Virtual IP Address: Edit : Type -  IP Alias и FTP прекрасно работает в пассиве.

а можно полный набор правил который вы прописывали для проброса фтп?

werter

@Silencerun:

@werter:

У меня в Firewall: Virtual IP Address: Edit : Type -  IP Alias и FTP прекрасно работает в пассиве.

а можно полный набор правил который вы прописывали для проброса фтп?

Firewall: NAT: Port Forward

WAN TCP * * WAN address 21 (FTP) 10.x.x.x 21 (FTP)  
WAN TCP * * WAN address 9000 - 9030 10.x.x.x 9000 - 9030 FTP Passive mode ports

Ну и в fw на WAN (создались автоматом) :

TCP * * 10.x.x.x 21 (FTP) * none   NAT  
TCP * * 10.x.x.x 9000 - 9030 * none   NAT (FTP Passive mode ports)

Только в Вашем случае вместо WAN address будет Ваш виртуальный адрес.

P.s. Вы доступ к портам извне проверяете с другого провайдера?

Silencerun

@werter:

@Silencerun:

@werter:

У меня в Firewall: Virtual IP Address: Edit : Type -  IP Alias и FTP прекрасно работает в пассиве.

а можно полный набор правил который вы прописывали для проброса фтп?

Firewall: NAT: Port Forward

WAN TCP * * WAN address 21 (FTP) 10.x.x.x 21 (FTP)  
WAN TCP * * WAN address 9000 - 9030 10.x.x.x 9000 - 9030 FTP Passive mode ports

Ну и в fw на WAN (создались автоматом) :

TCP * * 10.x.x.x 21 (FTP) * none   NAT  
TCP * * 10.x.x.x 9000 - 9030 * none   NAT (FTP Passive mode ports)

Только в Вашем случае вместо WAN address будет Ваш виртуальный адрес.

P.s. Вы доступ к портам извне проверяете с другого провайдера?

там открыто должно быть все у другого провайдера. еще раз сейчас перепроверим всё.. но все правила - что у вас, идеинтичны

а настроены ли у вас: Firewall: NAT: Outbound ??

# it's work действительно немного поковырявшись, выяснили что, что-то блочит проверочную машину, из-за других натов - все впорядке, всё подключается в пассивном режиме.