как правильно создать правила?
-
доброго времени суток.
на текущем роутере (убунта) существовали два следующих правила, которые позволяли подключаться из локальной сети к различным ресурсам внутри этой же сети обращаясь к ним по имени домена. и в зависимости от того на какой порт приходил запрос, шла переадресация на соответствующую службу.
правила выглядят так:
iptables -t nat -A POSTROUTING –dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IPгде:
$LAN_IP - внутренний ip-адрес службы
$SRV_PORT - порт службы.
$INT_IP - внутренний ip-адрес роутера
$EXT_IP - внешний ip-адрес роутерав связи с переходом на pfsense у меня возникили затруднения с правильностью создания этих правил в самом pfsense.
прошу помощи в этом нелегком для меня вопросе :)
заранее благодарен за ответ.
-
Опишите лучше задачу для этого правила.
ПС:
В pfSense правила исходящего (Outbound) NAT позволяют локальной машине получить доступ к внешнему ресурсу. При этом одним правилом прозрачно задается прохождение исходящих и ответных пакетов.
Для доступа внешних хостов к локальному серверу/хосту используется PortMapping (отображение какого-либо сервиса/порта наружу), либо 1:1 маппинг (полное отображение локального хоста наружу). -
домен my.com
построение сети.
1. pfsense с интерфейсами wan 192.168.222.22 и lan 192.168.200.1 (сижу за натом провайдера, который в свою очередь ретранслирует все запросы с белого ip 193...222 на 192.168.222.22)
за ним :
2. web (192.168.200.2)
3. mail (192.168.200.3)локальная сеть 192.168.200.* соответственно.
доступ извне к web и mail я уже сделал.
осталось реализовать доступ к этим же ресурсам из локальной сети, т.е. находясь в локальной сети браузер попадал на web, а почтовый клиент на mail обращаясь к сервисам используя доменное имя my.com
можно было бы разрешить эту ситуацию используя имеющийся локальный dns-сервер, если бы оба сервиса не отвечали на одно имя my.com. а создание, например mail.my.com., к сожалению невозможно.
-
А сейчас Ваш домен разрешается в DNS из локалки на WAN или на внешний IP провайдера?
Если на провайдера, то это один случай, а если на WAN pfSense, то другой. -
на внешний ip провайдера. но могу изменить на wan