Nat/pat par rapport au ndd.tld



  • Bonjour

    j'ai installé il y a quelque jours un serveur pfsense sur un VM (oui je sais très déconseillé sur vm mais pour l'instant c'est comme sa surtout pour apprendre a me servir de pfsense et déterminer si ce que je veux faire est compatible avec ce System.

    alors je voudrais savoir en premier si il est possible de redirigé en nat/pat a partir d'un ndd spécifique grâce au alias de pfsense vers
    une VM du Lan sortie "pfsense lan" sur un port spécifique de la vm windows dans mon cas.

    Exemple:

    192.168.2.2

    192.168.2.3

    webminecraft1.srvserveur.com:80 –-> Wan(IP public) || PfSense || Lan (192.168.2.1) ---> 192.168.2.4 port 8080

    mais que si un client demande webminecraft2.ndd.tld il soit rediriger sur la même vm de la sorte suivante:

    webminecraft2.srvserveur.com:80 ---> Wan(IP public) || PfSense || Lan (192.168.2.1) ---> 192.168.2.4 port 8081

    192.168.2.5

    car pour l'instant impossible de réaliser cela ou alors je fait pas comme il faut ou il me manque des services (ex:proxy ou autres) que je n'ai jamais eu a utiliser jusqu’à présent.

    voila merci de votre aide car je croit avoir lu tous les tuto et msg sur le forum qui aurait pu m'aider :D



  • Les connaissances de base vous font défaut.
    Il n'est pas nécessaire d'installer Pfsense "pour voir". J'explique pourquoi plus bas.
    Vous n'avez pas lu les bons fils de ce forum. Jdh et moi avons maintes fois répondu à cette problématique.
    Revenons aux bases et au besoin qui est le votre.
    Pfsense est un firewall réseau. Comme tel il traite ce qui releve des couches 2 (liaison de données),3 (ip) et 4 (udp, tcp) du modèle OSI pour résumer approximativement.
    Votre besoin, redirection selon une url, relève de la couche applicative (http) qui est la 7.
    Pour parler trivialement Pfsense ne comprend rien à vos problémes. Nat,pat d'une part et redirection d'url sont des mécanismes qui travaillent à des niveaux différents.
    Il y a bien sur des solutions, à commencer par le paramétrage du serveur web (virtualhost sur Apache). Il n'est pas rare de voir un serveur héberger plusieurs dizaines ou centaines de sites.
    Les reverses proxy sont un autre type de solution.  A priori c'est celle qui vous convient. Rien de tout cela n'a de rapport avec Pfsense. L'installation de package sur Pfsense ? Trés mauvaise idée le plus souvent.



  • Bonsoir

    merci de réponse clair et précise  mais petit rectification manque d'info de ma part dsl

    le nat marche impeccable pour mes serveur web ISS7.5 pour moi car comme vous le dite j'utilise le System Virtual-Host donc sur cette partis c'est iis7 qui gère le http et même très bien mais le problème apparais quand j'utilise des petite application genre minecraft en l'occurance actuellement mais je vais trouver je pense d'autre logiciel avec le même problème.

    donc je vais me renseigner sur reverses proxy

    et donc vous me dite "L'installation de package sur Pfsense ? Très mauvaise idée le plus souvent."
    pour quel raison je ne veut pas vous contredire mais simplement avoir plus explication et me coucher moins bête simplement.

    car moi je ne recherche pas actuellement un parfeu mais simplement une interface graphique pour faire du nat/pat et donc du reverses proxy en plus.

    Je ne recherche pas actuellement un par-feu car simplement je n'est pas les moyen pour louer un deuxième serveur physique destiné spécifiquement au par-feu car évidement il est complètement idiot de mettre un par-feu sur le même serveur physique que les vm de distribution.

    car en cas d'attaque plantage total ou même pire accès au données hébergé par les vm après le passage par dessus le "par-feu VM"
    sa je l'est appris par un ingénieur information au début de met recherche.

    voila donc si possible de répondre a ma question je vous en remercie d'avance

    tres bonne journée



  • Il faut relire attentivement la réponse correcte de ccnet.

    le nat marche impeccable pour mes serveur web ISS7.5 pour moi car comme vous le dite j'utilise le System Virtual-Host donc sur cette partis c'est iis7 qui gère le http et même très bien

    D'autres solutions (par exemple Apache) font ce travail de la même façon voire plus aisément (un fichier texte est souvent plus efficace qu'un clickodrome).
    Ce qui est dommage (outre la trop grande confiance dans IIS), c'est que vous ne savez pas comment ça fonctionne !

    Le fonctionnement est le suivant :

    • le firewall transfère le flux (http=80/tcp) vers une unique machine et plus précisément le serveur web de celle-ci,
    • le serveur web analyse le flux pour dispatcher selon le nom de domaine.

    Comment peut-il dispatcher selon le nom de domaine ? (alors que le client a juste envoyé un flux à une adresse ip)
    Parce que dans les paquets http, il est écrit en clair l'url recherché avec son nom de domaine !

    Cela est spécifique au protocole http, et n'existe pas souvent pour d'autres protocoles …

    D'où la réponse juste de ccnet et votre erreur (du à la non-connaissance du mécanisme).



  • car moi je ne recherche pas actuellement un parfeu mais simplement une interface graphique pour faire du nat/pat et donc du reverses proxy en plus.

    Alors oubliez Pfsense pour ce job. Apache avec les bons modules (mod-revers notament) pourra le faire. Voyez aussi Vulture.



  • Bonjour

    ok mais si je veux faire de même avec serveur MySQL ou autre comment faire se reverse :

    désolé pour toutes c'est question.

    Un Shéma mieux pour tous expliquer

    PS:
    je ne l'est pas dit au départ sa me semblait pas utile mais peu être que je fait boulette.
    actuellement j'ai 5 IP FailOver ( IP1||IP2||IP3||IP4||IP5 ) (EX IP: 212.83.yy.zz ) et IP Local : 192.168.2.zz donc :

    DNS SERVEUR :

    Web SITE  =  web.srvserveur.com                              –->  IP1  --->  VM 1

    MySQL1    =  mysql1.srvserveur.com:3306                --->  IP2  --->  VM 2

    Minecraft1 =  webminecraft1.srvserveur.com:8080    --->  IP3  --->  VM 3
    Minecraft1 =  minecraft1.srvserveur.com:25565          --->  IP3  --->  VM 3

    MySQL2    =  mysql2.srvserveur.com:3306                --->  IP4  --->  VM 4

    Minecraft2 =  webminecraft2.srvserveur.com:8080    --->  IP5  --->  VM 5
    Minecraft2 =  minecraft2.srvserveur.com:25565          --->  IP5  --->  VM 5

    Serveur EXSI:

    VM1 :Web ISS 7.5 avec 15 Sites marche ok  8)                –->    ( VM1 || IP1 || IP Local )

    VM2 :MySQL1 port 3306 marche ok  8)                            --->    ( VM2 || IP2 || IP Local )

    VM3 :Web Minecraft1 port 8080 marche ok  8)                --->    ( VM3 || IP3 || IP Local )
    VM3 :Minecraft1 port 25565 marche ok  8)                      --->    ( VM3 || IP3 || IP Local )

    VM4 :MySQL2 port 3306 marche ok  8)                              --->    ( VM4 || IP4 || IP Local )

    VM5 :Web Minecraft2 port 8080 marche ok  8)                --->    ( VM5 || IP5 || IP Local )
    VM5 :Minecraft2 port 25565 marche ok  8)                        --->    ( VM5 || IP5 || IP Local )

    et se que je veux faire c'est cela mais je croyait pouvoir le faire avec PfSense mais apparement non vu les reponse que vous me dite je me trompe pas ?

    FUTURE:

    IP FailOver ( IP1||IP2 ) (EX IP: 212.83.yy.zz ) et IP Local : 192.168.2.zz donc :

    DNS SERVEUR :

    Web SITE  =  web.srvserveur.com:80                  –->  IP1  --->  PfSense  --->  VM 1

    MySQL1    =  mysql1.srvserveur.com:80              --->  IP1  --->  PfSense  --->  VM 2

    Minecraft1 =  webminecraft1.srvserveur.com:80  --->  IP1  --->  PfSense  --->  VM 3
    Minecraft1 =  minecraft1.srvserveur.com:80          --->  IP1  --->  PfSense  --->  VM 3

    MySQL2    =  mysql2.srvserveur.com:80              --->  IP1  --->  PfSense  --->  VM 4

    Minecraft2 =  webminecraft2.srvserveur.com:80  --->  IP1  --->  PfSense  --->  VM 5
    Minecraft2 =  minecraft2.srvserveur.com:80          --->  IP1  --->  PfSense  --->  VM 5

    Serveur EXSI:

    VM1 :Web ISS 7.5 avec 15 Sites                  –->    ( VM1 || IP2 || IP Local )

    VM2 :MySQL1 port 3306                              --->    ( VM2 || IP2 || IP Local )

    VM3 :Minecraft1 port 8080                          --->    ( VM3 || IP2 || IP Local )
    VM3 :Minecraft1 port 25565                        --->    ( VM3 || IP2 || IP Local )

    VM4 :MySQL2 port 3306                              --->    ( VM4 || IP2 || IP Local )

    VM5 :Minecraft2 port 8080                          --->    ( VM5 || IP2 || IP Local )
    VM5 :Minecraft2 port 25565                        --->    ( VM5 || IP2 || IP Local )

    est possible et avec quoi ?

    Merci de votre patience. :)



  • Que viennent faire ces serveurs Mysql en écoute sur le port 80 ? Quelle est la justification fonctionnelle pour rendre accessible directement depuis internet des serveurs mysql sur le port 80? Un acces sur un sgbd depuus internet justifie au minimum un vpn.
    Tout cela est incroyablement brouillon. Il serait temps que vous appreniez les notions de bases pour comrendre un minimum ce que vous faites.



  • On vous explique que SEUL le protocole http permet un dispatch selon le nom de domaine (et encore c'est grâce à un mode reverse proxy).
    (Je donne même l'explication technique du pourquoi.)
    Combien de fois faudra-t-il l'écrire ?

    Bref ce n'est pas un problème pfSense …

    Je reprends ccnet : il vous manque sérieusement des bases sur les réseaux/protocoles/...



  • Bonjour,

    Je vous invite à la lecture d'un site dont vous trouverez le lien dans ce fil : https://forum.pfsense.org/index.php/topic,69908.0.html

    Cordialement



  • Bonjour

    Aux vues des réponses qu'a obtenu vincent1890, je comprends mieux pourquoi il y a très peu de questions, d aides et d’entraides sur ce forum. Les "réponses" apportées sont limites insultantes. Peut être à l'image de notre société.

    Moi même je pensais que le but d'un forum était que chacun pouvait aider l'autre, quelque soit son niveau de connaissance. Justement pour que les personnes débutantes puissent apprendre et avancer. Et au fur et à mesure du temps répondent aux nouveaux débutants.
    Et bien sûr les experts pouvaient répondre à des questions plus ardues.

    Je suis désolé pour vous vincent1890 d'avoir obtenu ce niveau de réponse qui bien sur n'a pas dû vous aidez beaucoup.

    Si j'avais pu vous aider, ca aurait avec plaisir.
    Désolé
    Et merci à tous les autres qui nous aideront dans nos recherches.
    Cordialement



  • Les réponses qui sont données sont des réponses correctes et adaptées !

    Les connaissances de base vous font défaut.

    C'est un constat et non, comme vous le lisez un jugement de valeur !

    Par exemple

    iis7 qui gère le http et même très bien mais le problème apparais quand j'utilise des petite application

    tente une analogie alors que les protocoles sont différents : si on ignore le fonctionnement de protocole, on ne peut rien faire : c'est le défaut de connaissances indiqué ! Il est notable que le site de Christian CALECA (donné par Baalserv) explique le mécanisme de dispatch selon l'url dans le protocole http : l'enseignement aurait pu aussi permettre que c'est un mécanisme rare.

    Au contraire, c'est vous qui perturbez les forums en faisant une très mauvaise lecture de réponses et en portant discrédit sur ceux qui apportent des réponses techniques et argumentées. J'ai en mémoire un forum assez voisin où TOUTES les personnes compétentes ont quitté à cause de pisse-froid comme vous … J'espère qu'il y aura une forte et saine réaction de la modération !



  • Les "réponses" apportées sont limites insultantes.

    Expliquer que Pfsense traite les couches 2, 3 et 4 du modèle OSI mais pas la couche 7 (applicative) c'est insultant ? J'aurai pu le comprendre si je m'étais limité à écrire que les connaissances de bases font défaut. Encore que … La réalité c'est qu'elles font défaut et la lecture judicieusement conseillée par Balaserv permettrait à Vincent1890 de comprendre la nature son problème, ses besoins et partant de commencer à envisager des solutions. Un problème bien compris et bien posé c'est déjà la moitié de la solution. Mais là on est dans un marécage, on  ne sait pas ce qu'on cherche, les besoins sont mal identifiés et l'analyse  repose sur des connaissances techniques très fragmentaires qui ne permettent pas une approche cohérente avec la réalité technique des protocoles notamment. WinServR2N1 en rdp ...

    Si je considère ces deux posts récents ce sont vos guillemets au mot réponses qui sont insultants :
    https://forum.pfsense.org/index.php/topic,71973.0.html
    https://forum.pfsense.org/index.php/topic,71719.0.html

    Hélas beaucoup viennent ici avec pour toute demande une recette. Un tuto comme ils disent. Quelle valeur ajoutée dans cette démarche ? Quelle progression (apprendre et avancer) possible ? Vous n'imaginez pas conduire sans connaitre le code de la route mais vous êtes nombreux à imaginer configurer un firewall ou un composant de sécurité sans connaitre les protocoles un minimum. Une compréhension, même basique,  de l'analogie entre OSI avec la pile TCP/IP ce n'est pas la mer à boire et pourtant cela règle tellement de difficultés de compréhension.



  • Bonjour j'avais décidé de laisser tomber ce sujet a cause du manque d'info
    mais le message ma fait revenir sur ma décision.

    merci ""milou"" car je croyait que c’était mes question qui était mal faite ou moi qui comprenait vraiment rien mais j’avoue que j'aurais du être plus claire sur se que je voulait faire au final c'est pour cela que j'ai poster un msg beaucoup plus complet : https://forum.pfsense.org/index.php/topic,72153.msg393792.html#msg393792

    le mysql c'est bien un exemple oui il est en accès extérieur pour l'instant le tant de rapatrier tous les sites mutualiser vers mes propres serveurs web et donc utiliser une ip local ensuite.

    Les connaissances de base vous font défaut. oui c'est pour cela que je me retrouve ici a demander de l'aide sur le forum car autrement c'est que je serrai en train d'aider les autres.

    mais je vous remercie quand même car vous m'avez appris quelque truc en plus comme le reverse-proxy est fait pour le http seulement et non comment je le pensais pour rediriger la connexion en fonction de n'importe quel adresse dns type sous-domaine.NDD.tld et ensuite utiliser pfsense pour le nat mais je vous est posez la question suivante:

    est possible et avec quoi ?

    car je pense que cela est bien possible mais comment ?
    car impossible a trouver sur google >:(

    et sur cette question principal du coup pas de réponse a par :

    Que viennent faire ces serveurs Mysql en écoute sur le port 80 ? Quelle est la justification fonctionnelle pour rendre accessible directement depuis internet des serveurs mysql sur le port 80? Un accès sur un sgbd depuis internet justifie au minimum un vpn.

    mais par exemple l'exemple de mysql peux être remplacer par la connexion RDP
    car dans l'environnement ou j'en n'ai besoin seulement le port 80 et 443 sont ouvert
    et que je ne souhaite pas utiliser de vnp et encapsulé se trafic sur le 80 se qui est possible avec frozen way mais je ne souhaite pas faire cela car il me faudrait donc utiliser un logiciel externe.

    et ne souhaite pas pas non plus modifier le port de connexion du coté Serveur se qui est tous a fait possible je l'est déjà réaliser il y a quelque années.

    oui je suis exigent mais c'est pour cela que je suis ici car pas encore capable de faire avec mes connaissances.

    donc comment faire et avec quel outils :

    en fonction du nom de connexion d'un port exemple le 80 de préférence rediriger vers une VM le services en question avec un port différent seulement en interne des serveurs ( VM )

    pour me permettre d'avoir accès a plus VM avec une seule IP et en fonction de l'adresse DNS de connexion utiliser au départ chez le client sans que celui ci sans aperçoive.

    Voila merci de votre aide déjà apporter quand même.
    mais je me rapproche de l'idée qu'a ""milou"" .



  • donc comment faire et avec quel outils

    Depuis le début ccnet ou moi, nous vous expliquons que C'EST le protocole qui permet ou non ce type de fonctionnement.

    A ma connaissance seul HTTP est prévu pour cet usage. Et ni MySQL, ni HTTPS, ni RDP/TSE ne fonctionne ainsi !

    Clairement, avec une seule adresse ip et N noms de domaine, il n'y a pas de difficulté pour HTTP.
    Mais pour les autres protocoles, il est indispensable d'avoir une adresse ip = un nom de domaine.

    Clairement, il vous faut repenser votre solution (et non espérer une solution … qui n'existe pas).

    Merci de ne pas féliciter milou qui fout le bazar en prétendant que nous ne répondons pas ou mal.
    Il prétend que nos réponses sont "insultantes" alors que nous expliquons (et prouvons par des liens) que les protocoles ne permettent pas ce qui est demandé.
    Franchement c'est lui qui nous insulte ...



  • Bonjour,

    @ccnet:

    Il y a bien sur des solutions, à commencer par le paramétrage du serveur web (virtualhost sur Apache). Il n'est pas rare de voir un serveur héberger plusieurs dizaines ou centaines de sites.
    Les reverses proxy sont un autre type de solution.  A priori c'est celle qui vous convient. Rien de tout cela n'a de rapport avec Pfsense. L'installation de package sur Pfsense ? Trés mauvaise idée le plus souvent.

    CCNET vous à donner dans son 1er post du fil les réponses à vos problèmes :)

    Donc je répète d'une façon différente :
    pour le http/80 => reverse proxy et/ou virtualhost
    pour le reste, définissez vos besoins réel et donc les protocoles qui en dépendent, les solutions technique dépendrons des protocoles !

    Cordialement

    EDIT : JDH à repondu en même temps que moi ^^

    EDIT 2 : je rejoint CCNET et JDH sur leur avis quand au post de MILOU

    EDIT 3 : le modèle OSI -> 1er cour sur les réseaux dispenser au lycée par mon professeur ! c'était en 1994 ^^ (et je confirme ! Si SI il est toujours d'actualité ce modèle ^^)



  • le mysql c'est bien un exemple oui il est en accès extérieur pour l'instant le tant de rapatrier tous les sites mutualiser vers mes propres serveurs web et donc utiliser une ip local ensuite.

    mais par exemple l'exemple de mysql peux être remplacer par la connexion RDP
    car dans l'environnement ou j'en n'ai besoin seulement le port 80 et 443 sont ouvert
    et que je ne souhaite pas utiliser de vnp et encapsulé se trafic sur le 80 se qui est possible avec frozen way mais je ne souhaite pas faire cela car il me faudrait donc utiliser un logiciel externe.

    Encore un problème de protocole. Ici le protocole défaillant c'est … le français. En ce qui me concerne je ne comprend pas ce que vous voulez faire. D'où ma demande précédente :
    Que viennent faire ces serveurs Mysql en écoute sur le port 80 ? Quelle est la justification fonctionnelle pour rendre accessible directement depuis internet des serveurs mysql sur le port 80 ?

    Et Milou, si prompt, vous comprenez la demande de Vincent1890 ?

    Vincent1890, vous rendez vous compte des risques que vous faites courir à vos systèmes ?
    Vos ip publics et beaucoup d'autres choses sont très facilement repérables.

    Les connaissances de base vous font défaut. oui c'est pour cela que je me retrouve ici a demander de l'aide sur le forum car autrement c'est que je serrai en train d'aider les autres.

    Et si vous passiez un peu de temps à les acquérir au lieu de chercher des recettes toutes faites à des problèmes que, pour le moment, vous ne comprenez pas ? Quelques heures de lectures du site de Christian Caleca éclairait quelques points.


Log in to reply