Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    TransProxy

    Scheduled Pinned Locked Moved Russian
    9 Posts 2 Posters 6.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      drongous
      last edited by

      Народ обясните тупаку. ??? А то тут меня нагружают и ничаго не понимаю.

      Задача. Есть фиревалл и два сервака в ДМЗ.

      Шеф тут хочет дабы ето все организовывалось как Субж.
      Но я не могу втупить как ето.
      Я понал как порт форвардить в зависомости от алиасов на ване. Но как трасперети я так и не могу понять. Притом тоже в зависимости от алиасов.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Мне кажется сначала нужно понять чего вы (ваш шеф) хотите получить, а решение выйдет из правильно поствленного вопроса.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • D
          drongous
          last edited by

          Он хочет  >:(

          Он гдето вичитал что ТранспарентПрокси ето круто и надежно.

          На сколько я понимаю его работу (TransparetProxy), то можно проксировать один (например внешини 80-й) только на один в ДМЗ (на сервер во внири например 8080). Тоесть нету логического проксирования в зависимости от ІР на ван интерфейсе.
          (На ване у нас алиасные IP, и при алиасных ИП можно делать простой порт форвардинг. Работает проверенно).

          Прав или нет? Росудите. Или ткните мордой как кота в молоко.  :-\

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..
            Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
            –-
            Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
            1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
            2-руками добавлять правила в конфиг фильтра pf.
            В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • D
              drongous
              last edited by

              @dvserg:

              Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..

              На сколько я понимаю не только для простоты попдания пользователей в мир.
              @dvserg:

              Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
              –-
              Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
              1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
              2-руками добавлять правила в конфиг фильтра pf.
              В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

              Меня интересуєт вот чтото на подобие http://pfsense.trendchiller.com/transparent_firewall.pdf. Но для алиасов. Можно ли ету доку брать во внимание.

              Спасибо за молоко.  ;D

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                Мда, ключевое слово здесь прозрачный фильтрующий бридж.
                Прозрачный прокси - это другой мьюзикл.
                Было-бы неплохо иметь перед глазами схему вашей сети и что куда должно попасть. Я имею некоторый опыт конфигурирования бриджа. Можно использовать policy-based rules.

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • D
                  drongous
                  last edited by

                  {          {INET}      }
                  |              |            |
                  |        {PFSENSE}  |
                  |          /        \      |
                  {Server 1}  {Server2}

                  Все ето дело в датацентре голандском.

                  В наличии хаб (они предоставляют, какой не имею себе представления)

                  {PFSENSE} - 3 интерфейса, один в инет смотрит, 2 в ДМЗ на серваки.
                  {Server 1} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)
                  {Server 2} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)

                  {PFSENSE} wan -> 192.125.45.138-139/29
                                  lan -> bridge на wan
                                  opt -> bridge на wan

                  {Server 1} eth0 -> 10.20.0.10 в дмз
                                  drac1 -> 192.125.45.140  в инет

                  {Server 2} eth0 -> 10.20.0.80 в дмз
                                  drac1 -> 192.125.45.141  в инет

                  Соответсвенно с портфорвардингом в такой ситуации все понятно.
                  А как нащет бриджа - хрен его знает. Посоветуйте, а точнее россудите кто прав.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    {PFSENSE} wan -> 192.125.45.138-139/29
                                    lan -> bridge на wan
                                    opt -> bridge на wan
                    –-
                    А lan opt wan имеют одну подсеть? тогда что такое eth0 10.x.x.x на серверах? Если интерфейсы организованы в бридж - это подразумевает у них одну подсеть.
                    По безопасности LAN рекомендуется делать с приватными адресами, так как с него позволяется конфигурировать pfsense. DMZ рекомендуют делать на Opt интерфейсах.
                                                           [(opt1)]->servA_1…servA_n
                    inet->[(wan inet addr) pfSense (lan)]->LAN_subnet
                                                           [(opt2)]->servB_1…servB_n

                    Если вы делаете бридж optx<->wan, то есс-нно каждый из ваших серверов должен будет иметь белый IP из подсети WAN, и есс-нно кульбиты с порт-форвардингом не нужны. Каждый сервер будет виден пользователям с инета под своим белым IP, хоть он и расположен на optx интерфейсе. А с помощью pfSense можно будеть осуществлять фильтрацию и защиту трафика к вашим серверам.
                    Если вы оставляете видимым один IP wan интерфейса (или назначаете несколько), а optx интерфейсы загоняете в серую зону IP адресов, то бридж здесь невозможен. Придется пользоваться портфорвардингом wan>opt.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • D
                      drongous
                      last edited by

                      Спасибочки за молоко.  ;)

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.