Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    TransProxy

    Russian
    2
    9
    6038
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      drongous last edited by

      Народ обясните тупаку. ??? А то тут меня нагружают и ничаго не понимаю.

      Задача. Есть фиревалл и два сервака в ДМЗ.

      Шеф тут хочет дабы ето все организовывалось как Субж.
      Но я не могу втупить как ето.
      Я понал как порт форвардить в зависомости от алиасов на ване. Но как трасперети я так и не могу понять. Притом тоже в зависимости от алиасов.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Мне кажется сначала нужно понять чего вы (ваш шеф) хотите получить, а решение выйдет из правильно поствленного вопроса.

        1 Reply Last reply Reply Quote 0
        • D
          drongous last edited by

          Он хочет  >:(

          Он гдето вичитал что ТранспарентПрокси ето круто и надежно.

          На сколько я понимаю его работу (TransparetProxy), то можно проксировать один (например внешини 80-й) только на один в ДМЗ (на сервер во внири например 8080). Тоесть нету логического проксирования в зависимости от ІР на ван интерфейсе.
          (На ване у нас алиасные IP, и при алиасных ИП можно делать простой порт форвардинг. Работает проверенно).

          Прав или нет? Росудите. Или ткните мордой как кота в молоко.  :-\

          1 Reply Last reply Reply Quote 0
          • D
            dvserg last edited by

            Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..
            Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
            –-
            Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
            1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
            2-руками добавлять правила в конфиг фильтра pf.
            В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

            1 Reply Last reply Reply Quote 0
            • D
              drongous last edited by

              @dvserg:

              Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..

              На сколько я понимаю не только для простоты попдания пользователей в мир.
              @dvserg:

              Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
              –-
              Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
              1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
              2-руками добавлять правила в конфиг фильтра pf.
              В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

              Меня интересуєт вот чтото на подобие http://pfsense.trendchiller.com/transparent_firewall.pdf. Но для алиасов. Можно ли ету доку брать во внимание.

              Спасибо за молоко.  ;D

              1 Reply Last reply Reply Quote 0
              • D
                dvserg last edited by

                Мда, ключевое слово здесь прозрачный фильтрующий бридж.
                Прозрачный прокси - это другой мьюзикл.
                Было-бы неплохо иметь перед глазами схему вашей сети и что куда должно попасть. Я имею некоторый опыт конфигурирования бриджа. Можно использовать policy-based rules.

                1 Reply Last reply Reply Quote 0
                • D
                  drongous last edited by

                  {          {INET}      }
                  |              |            |
                  |        {PFSENSE}  |
                  |          /        \      |
                  {Server 1}  {Server2}

                  Все ето дело в датацентре голандском.

                  В наличии хаб (они предоставляют, какой не имею себе представления)

                  {PFSENSE} - 3 интерфейса, один в инет смотрит, 2 в ДМЗ на серваки.
                  {Server 1} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)
                  {Server 2} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)

                  {PFSENSE} wan -> 192.125.45.138-139/29
                                  lan -> bridge на wan
                                  opt -> bridge на wan

                  {Server 1} eth0 -> 10.20.0.10 в дмз
                                  drac1 -> 192.125.45.140  в инет

                  {Server 2} eth0 -> 10.20.0.80 в дмз
                                  drac1 -> 192.125.45.141  в инет

                  Соответсвенно с портфорвардингом в такой ситуации все понятно.
                  А как нащет бриджа - хрен его знает. Посоветуйте, а точнее россудите кто прав.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg last edited by

                    {PFSENSE} wan -> 192.125.45.138-139/29
                                    lan -> bridge на wan
                                    opt -> bridge на wan
                    –-
                    А lan opt wan имеют одну подсеть? тогда что такое eth0 10.x.x.x на серверах? Если интерфейсы организованы в бридж - это подразумевает у них одну подсеть.
                    По безопасности LAN рекомендуется делать с приватными адресами, так как с него позволяется конфигурировать pfsense. DMZ рекомендуют делать на Opt интерфейсах.
                                                           [(opt1)]->servA_1…servA_n
                    inet->[(wan inet addr) pfSense (lan)]->LAN_subnet
                                                           [(opt2)]->servB_1…servB_n

                    Если вы делаете бридж optx<->wan, то есс-нно каждый из ваших серверов должен будет иметь белый IP из подсети WAN, и есс-нно кульбиты с порт-форвардингом не нужны. Каждый сервер будет виден пользователям с инета под своим белым IP, хоть он и расположен на optx интерфейсе. А с помощью pfSense можно будеть осуществлять фильтрацию и защиту трафика к вашим серверам.
                    Если вы оставляете видимым один IP wan интерфейса (или назначаете несколько), а optx интерфейсы загоняете в серую зону IP адресов, то бридж здесь невозможен. Придется пользоваться портфорвардингом wan>opt.

                    1 Reply Last reply Reply Quote 0
                    • D
                      drongous last edited by

                      Спасибочки за молоко.  ;)

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post

                      Products

                      • Platform Overview
                      • TNSR
                      • pfSense Plus
                      • Appliances

                      Services

                      • Training
                      • Professional Services

                      Support

                      • Subscription Plans
                      • Contact Support
                      • Product Lifecycle
                      • Documentation

                      News

                      • Media Coverage
                      • Press
                      • Events

                      Resources

                      • Blog
                      • FAQ
                      • Find a Partner
                      • Resource Library
                      • Security Information

                      Company

                      • About Us
                      • Careers
                      • Partners
                      • Contact Us
                      • Legal
                      Our Mission

                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                      Subscribe to our Newsletter

                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                      © 2021 Rubicon Communications, LLC | Privacy Policy