freeBSD 8.1 pf хитр0*пый редирект

[Funt1k]

Есть локальная сеть 10.0.0.0/24 :
Шлюз 10.0.0.1
почтарь 10.0.0.2
Пользователи привыкли заходить в почту через веб морду, просто написав внешний ип шлюза к примеру 1.1.1.1
С наружи можно зайти свободно, прописал rdr
а вот как надо правильно записать правило, чтобы пользователи из локальной сети писали 1.1.1.1 и заходили на 10.0.0.2
на данный момент это реализовано через redir, но хотелось все держать на фаерфоле
правило на redir --lport=80 --laddr=1.1.1.1 --cport=80 --caddr=10.0.0.2
подскажите плз как это сделать на pf

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ADRE]

разрешить ползователям заходит на 1.1.1.1 через внешний интерфейс и редирект отработает корректно.

[skeletor]

Код: Выделить всё

rdr on rl0 inet proto tcp from any to 1.1.1.1 port 80 -> 10.0.0.2 port 80

[Funt1k]

первым делом я писал правило

Код: Выделить всё

rdr pass on $int_if inet proto tcp from 10.0.0.250 to 1.1.1.1 port 80 -> 10.0.0.2 port 80

но это не помогает.

[skeletor]

мда...
Ещё раз перечитал первый пост. Если перефразировать, то получится так: юзер из локалки коннектится к какому-то левому IP, который его перенаправляет обратно в локалку.
Имхо, бред.

[Funt1k]

и не спорю что бред. но переучить сотню людей - не представляется возможным.

[skeletor]

Если правило на срабатывает - запускай tcpdump и смотри, почему пакеты не форвардятся.

[xM]

мда...
Ещё раз перечитал первый пост. Если перефразировать, то получится так: юзер из локалки коннектится к какому-то левому IP, который его перенаправляет обратно в локалку.
Имхо, бред.

Нет, ну почему же. Могут быть объективные причины.
К примеру, сервис или, например, SSL сертификат, привязан только к внешнему IP.
То, что требуется, называется NAT loopback. Поищите по этому словосочетанию.

[xM]

Вот первый же ответ Google - http://nick.recoil.org/2006/07/loopback-nat-with-pf/
Тока картинки нет, но и так всё понятно.
А вот и причина того, что ничего не работает

4. Your computer receives the reply, but the source IP address is the local address, not the remote address, so the data is discarded

[snorlov]

и не спорю что бред. но переучить сотню людей - не представляется возможным.

Существует же dns, приучить пользователей к нему что уже никак...