как правильно создать правила?



  • доброго времени суток.

    на текущем роутере (убунта) существовали два следующих правила, которые позволяли подключаться из локальной сети к различным ресурсам внутри этой же сети обращаясь к ним по имени домена. и в зависимости от того на какой порт приходил запрос, шла переадресация на соответствующую службу.

    правила выглядят так:
    iptables -t nat -A POSTROUTING –dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP
    iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    где:
    $LAN_IP - внутренний ip-адрес службы
    $SRV_PORT - порт службы.
    $INT_IP - внутренний ip-адрес роутера
    $EXT_IP - внешний ip-адрес роутера

    в связи с переходом на pfsense у меня возникили затруднения с правильностью создания этих правил  в самом pfsense.

    прошу помощи в этом нелегком для меня вопросе :)

    заранее благодарен за ответ.



  • Опишите лучше задачу для этого правила.

    ПС:
    В pfSense правила исходящего (Outbound) NAT позволяют локальной машине получить доступ к внешнему ресурсу. При этом одним правилом прозрачно задается прохождение исходящих и ответных пакетов.
    Для доступа внешних хостов к локальному серверу/хосту используется PortMapping (отображение какого-либо сервиса/порта наружу), либо 1:1 маппинг (полное отображение локального хоста наружу).



  • домен my.com

    построение сети.
    1. pfsense с интерфейсами wan 192.168.222.22 и lan 192.168.200.1 (сижу за натом провайдера, который в свою очередь ретранслирует все запросы с белого ip 193...222 на 192.168.222.22)
    за ним :
    2. web (192.168.200.2)
    3. mail (192.168.200.3)

    локальная сеть 192.168.200.* соответственно.

    доступ извне к web и mail я уже сделал.

    осталось реализовать доступ к этим же ресурсам из локальной сети, т.е. находясь в локальной сети браузер попадал на web, а почтовый клиент на mail обращаясь к сервисам используя доменное имя my.com

    можно было бы разрешить эту ситуацию используя имеющийся локальный dns-сервер, если бы оба сервиса не отвечали на одно имя my.com. а создание, например mail.my.com., к сожалению невозможно.



  • А сейчас Ваш домен разрешается в DNS из локалки на WAN или на внешний IP провайдера?
    Если на провайдера, то это один случай, а если на WAN pfSense, то другой.



  • на внешний ip провайдера. но могу изменить на wan


Log in to reply