редирект внтури сети

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-15 16:19:19

Здравствуйте, подскажите как на pf, или может сторонние редиректы поставить чтобы организовать следующее..

Есть шлюз FreeBsd + pf + squid, из вне конекчусь по внешнему домену mail.mydomain.ru, в pf след правило

Код: Выделить всё

rdr on $ext_if proto $both from any to $ext_ip port 443 -> 10.10.10.3 port 443
Прихожу допустим с этим компом в офис, попадаю в локалку, конекчусь по этому же доменному имени, попадаю конечноже на сервер фрибсд, который естественно меня ни куда не перенаправляет, так как я внутри сети.

Как настроить так чтобы фряха меня при конекте кидала на др сервер в локалке. Прописывание днс в локалке не вариант, так как много чего коннектиться и на фряху. Нужно всего по 443 порту перебрасывать на др сервер.
Помогите, чтото своими силами не справляюсь, rinetd и portfwd попробовал, не перекидывают.
Последний раз редактировалось f_andrey 2013-04-15 16:48:40, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: редирект внтури сети

Непрочитанное сообщение fox » 2013-04-15 16:35:08

Можно попробовать пару вариантов.
1) Сделать редерект при помощи ssh:

Код: Выделить всё

ssh -p 22 -2 -N -f -L 192.168.250.250:80:192.168.64.216:80 fox@192.168.32.254
Коментарии не нужны. 192.168.250.250 приймет и пульнёт на 192.168.64.216 а 192.168.32.254 - адрес ssh сервера.

2) Вариант:
в /etc/hosts
прописать:

Код: Выделить всё

10.10.10.3          mail.mydomain.ru
Да пребудет с нами сила!!!
Всех убью, один останусь!

c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

Re: редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-15 16:45:41

Код: Выделить всё

ssh -p 22 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
так чтото не работает(

а вариант второй не подходит, так как это применится ко всем, а не только к порту 443

Dmitriy_3206
проходил мимо

Re: редирект внтури сети

Непрочитанное сообщение Dmitriy_3206 » 2013-04-15 20:07:37

В книге по PfSense называют два решения:
Зеркальный NAT
Зеркальный NAT - практически всегда предоставляет дополнительные возможности
взлома, такие как создание петли трафика через брандмауэр
и
7.5.2. Разделение DNS
Предпочтительная альтернативой зеркального NAT - развёртывание инфраструктуры с
разделённым DNS (Split DNS). Разделение DNS, это конфигурация, в которой ваш
публичный Интернет DNS разрешает ваши публичные IP, а DNS в вашей внутренней
сети разрешает внутренние, частные IP-адреса. Способ размещения будет зависеть от
вашей специфики инфраструктуры DNS, но конечный результат будет тем же. Таким
образом, вы можете обойти необходимость использования зеркального NAT путём
разрешения имён хостов во внутренних, частных IP адресах.

Dmitriy_3206
проходил мимо

Re: редирект внтури сети

Непрочитанное сообщение Dmitriy_3206 » 2013-04-15 20:13:24

Еще решение в лоб правда на внешнем интерфейсу я не пробовал:
http://www.lissyara.su/articles/freebsd/trivia/rinetd/

c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

Re: редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-15 20:47:08

Dmitriy_3206 писал(а):Еще решение в лоб правда на внешнем интерфейсу я не пробовал:
http://www.lissyara.su/articles/freebsd/trivia/rinetd/
Написал же в самом первом сообщении
rinetd и portfwd попробовал, не перекидывают.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: редирект внтури сети

Непрочитанное сообщение fox » 2013-04-16 1:33:44

Что именно с ssh не работает?
Порт в сокетах не появляется или что?
Да пребудет с нами сила!!!
Всех убью, один останусь!

c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

Re: редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-16 9:07:28

fox писал(а):Что именно с ssh не работает?
Порт в сокетах не появляется или что?
угу, не появляется(

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: редирект внтури сети

Непрочитанное сообщение fox » 2013-04-16 12:53:49

Ну во первых должен быть свободный тот порт на который вы вешаете. Во вторых вам весь синтаксис понятен примера?
Может вы сделали логическую ошибку. Потому, что в качестве редеректа этот вариант работает безупречно! У вас sshd на 22 порту или на другом?
Да пребудет с нами сила!!!
Всех убью, один останусь!

c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

Re: редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-16 13:27:36

fox писал(а):Ну во первых должен быть свободный тот порт на который вы вешаете. Во вторых вам весь синтаксис понятен примера?
Может вы сделали логическую ошибку. Потому, что в качестве редеректа этот вариант работает безупречно! У вас sshd на 22 порту или на другом?

Код: Выделить всё

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
The authenticity of host '[10.10.10.1]:22022 ([10.10.10.1]:22022)' can't be established.
RSA key fingerprint is d7:cf:b2:1f:c9:82:5e:58:88:f1:68:47:5b:16:6e:18.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[10.10.10.1]:22022' (RSA) to the list of known hosts.
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 admin@10.10.10.1
admin@10.10.10.1's password:
free# sockstat | grep 443
root     ssh        2782  4  tcp4   10.10.10.1:443        *:*
openfire java       944   148tcp4   *:7443                *:*

10.10.10.1 - сервак фряшный, он же должен перекинуть на 10.10.10.3

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: редирект внтури сети

Непрочитанное сообщение fox » 2013-04-16 14:08:23

ну... Правельно у вас появился листинг 443 порта на нужно интерфейсе.
Теперь работает?
Да пребудет с нами сила!!!
Всех убью, один останусь!

c4sin
сержант
Сообщения: 165
Зарегистрирован: 2008-12-02 23:04:06

Re: редирект внтури сети

Непрочитанное сообщение c4sin » 2013-04-17 10:30:19

вот именно, нет( но сделал вообщем иначе все, через днс пошел, прописал mail.mydomen.ru два ip шника, теперь если фряха по порту 443 не доступа, у меня коннектиться на другой сервак.