TransProxy



  • Народ обясните тупаку. ??? А то тут меня нагружают и ничаго не понимаю.

    Задача. Есть фиревалл и два сервака в ДМЗ.

    Шеф тут хочет дабы ето все организовывалось как Субж.
    Но я не могу втупить как ето.
    Я понал как порт форвардить в зависомости от алиасов на ване. Но как трасперети я так и не могу понять. Притом тоже в зависимости от алиасов.



  • Мне кажется сначала нужно понять чего вы (ваш шеф) хотите получить, а решение выйдет из правильно поствленного вопроса.



  • Он хочет  >:(

    Он гдето вичитал что ТранспарентПрокси ето круто и надежно.

    На сколько я понимаю его работу (TransparetProxy), то можно проксировать один (например внешини 80-й) только на один в ДМЗ (на сервер во внири например 8080). Тоесть нету логического проксирования в зависимости от ІР на ван интерфейсе.
    (На ване у нас алиасные IP, и при алиасных ИП можно делать простой порт форвардинг. Работает проверенно).

    Прав или нет? Росудите. Или ткните мордой как кота в молоко.  :-\



  • Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..
    Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
    –-
    Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
    1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
    2-руками добавлять правила в конфиг фильтра pf.
    В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.



  • @dvserg:

    Прокси - это прежде всего программа/сервис/процесс, выполняющая посреднические функции по доставке данных. То, что вы описываете - есть портмапинг(форвардинг). При чем здесь транспарентность - непонятно..

    На сколько я понимаю не только для простоты попдания пользователей в мир.
    @dvserg:

    Прокси бывают внешние(публичные) - здесь пользователь прямо указывает в настройках браузера адрес/порт прокси, и внутренние. Вот для внутреннего прокси можно сделать прозрачный режим. Когда много пользователей из локальной сети стремится пробится в интернет через один канал, делается редирект(мапинг, форвардинг) пакетов, у которых порт назначения http/https на ip/порт прокси-сервера. Для пользователя это выглядит прозрачно и никаких настроек ему делать не нужно.
    –-
    Если вам нужно мапить с внешнего интерфейса на ДМЗ в зависимости от IP внешнего пользователя, то есть 2 пути
    1 - назначить разные группы портов для разных групп пользователей и мапить эти порты куда вам нужно.
    2-руками добавлять правила в конфиг фильтра pf.
    В pfSense не реализована в GUI возможность мапинга портов в зависимости от ip пользователя, хотя фильтр PF такое позволяет.

    Меня интересуєт вот чтото на подобие http://pfsense.trendchiller.com/transparent_firewall.pdf. Но для алиасов. Можно ли ету доку брать во внимание.

    Спасибо за молоко.  ;D



  • Мда, ключевое слово здесь прозрачный фильтрующий бридж.
    Прозрачный прокси - это другой мьюзикл.
    Было-бы неплохо иметь перед глазами схему вашей сети и что куда должно попасть. Я имею некоторый опыт конфигурирования бриджа. Можно использовать policy-based rules.



  • {          {INET}      }
    |              |            |
    |        {PFSENSE}  |
    |          /        \      |
    {Server 1}  {Server2}

    Все ето дело в датацентре голандском.

    В наличии хаб (они предоставляют, какой не имею себе представления)

    {PFSENSE} - 3 интерфейса, один в инет смотрит, 2 в ДМЗ на серваки.
    {Server 1} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)
    {Server 2} - 2 интерфейса, 1 в дмз, 1 в инет (ремоут маннагер)

    {PFSENSE} wan -> 192.125.45.138-139/29
                    lan -> bridge на wan
                    opt -> bridge на wan

    {Server 1} eth0 -> 10.20.0.10 в дмз
                    drac1 -> 192.125.45.140  в инет

    {Server 2} eth0 -> 10.20.0.80 в дмз
                    drac1 -> 192.125.45.141  в инет

    Соответсвенно с портфорвардингом в такой ситуации все понятно.
    А как нащет бриджа - хрен его знает. Посоветуйте, а точнее россудите кто прав.



  • {PFSENSE} wan -> 192.125.45.138-139/29
                    lan -> bridge на wan
                    opt -> bridge на wan
    –-
    А lan opt wan имеют одну подсеть? тогда что такое eth0 10.x.x.x на серверах? Если интерфейсы организованы в бридж - это подразумевает у них одну подсеть.
    По безопасности LAN рекомендуется делать с приватными адресами, так как с него позволяется конфигурировать pfsense. DMZ рекомендуют делать на Opt интерфейсах.
                                           [(opt1)]->servA_1…servA_n
    inet->[(wan inet addr) pfSense (lan)]->LAN_subnet
                                           [(opt2)]->servB_1…servB_n

    Если вы делаете бридж optx<->wan, то есс-нно каждый из ваших серверов должен будет иметь белый IP из подсети WAN, и есс-нно кульбиты с порт-форвардингом не нужны. Каждый сервер будет виден пользователям с инета под своим белым IP, хоть он и расположен на optx интерфейсе. А с помощью pfSense можно будеть осуществлять фильтрацию и защиту трафика к вашим серверам.
    Если вы оставляете видимым один IP wan интерфейса (или назначаете несколько), а optx интерфейсы загоняете в серую зону IP адресов, то бридж здесь невозможен. Придется пользоваться портфорвардингом wan>opt.



  • Спасибочки за молоко.  ;)


Log in to reply