pf + rdr на внутренний сервер

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Tuxper
проходил мимо

pf + rdr на внутренний сервер

Непрочитанное сообщение Tuxper » 2007-05-13 12:16:06

Бьюсь головой уже...
Схема сети:

Код: Выделить всё

Internet <--> SDLS Modem <-->		 FreeBSD 6.2		   <--> Lan (192.168.0.0/24) 
							(217.29.xx.xx, 192.168.0.xx)
В сети 192.168.0.0/24 есть веб сервер...
Задача, пробросить снаружи входящий трафик на 80/443 порты во внутрь на веб сервер...
это успешно..
Но не получается перенаправить трафик с 192.168.0.0/24 идущий на внешний адрес 217.29.xx.xx на порты 80/443
Используется на шлюзе pf.
Конфиг его:

Код: Выделить всё

ext_if = "tun0"
int_if = "xl0"
lan = "192.168.0.0/24"
ext_addr = "217.29.xx.xx"
int_addr = "192.168.0.xx"
router = "192.168.0.yy"
nat on $ext_if from $lan to any -> $ext_addr
## redirection
rdr pass on $int_if proto tcp from $lan to $ext_addr/32 port http tag INT_HTTP -> $router port https
rdr pass on $int_if proto tcp from $lan to $ext_addr/32 port https tag INT_HTTPS -> $router port https
rdr pass on $ext_if proto tcp from any to $ext_addr/32 port http tag EXT_HTTP  -> $router port http
rdr pass on $ext_if proto tcp from any to $ext_addr/32 port https tag EXT_HTTPS -> $router port https
## Allow 
pass in quick on $int_if proto tcp from $lan to $ext_addr port=http tagged INT_HTTP flags S/SA synproxy state
pass in quick on $int_if proto tcp from $lan to $ext_addr port=https tagged INT_HTTPS flags S/SA synproxy state
pass in quick on $ext_if proto tcp from any to $ext_addr port=http tagged EXT_HTTP flags S/SA synproxy state
pass in quick on $ext_if proto tcp from any to $ext_addr port=https tagged EXT_HTTPS flags S/SA synproxy state
pftop:
tcp Out 192.168.0.tt:4586 192.168.0.yy:443 SYN_SENT:CLOSED 00:00:38 00:00:01 3 144
tcp Out 192.168.0.tt:4590 192.168.0.yy:443 SYN_SENT:CLOSED 00:00:10 00:00:29 3 144

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35035
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-29 9:33:46

народ тут, в основном, юзает ipfw :(
Убей их всех! Бог потом рассортирует...

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-05-29 11:08:14

А последние два правила не pass out часом? И с quick поосторожнее, а то споткнуться на нем можно.
Вот ссылка полезная, может поможет чем:
http://house.hcn-strela.ru/BSDCert/BSDA ... pcs02.html