Доброго времени суток
Есть сеть с двумя шлюзами
Есть rdp сервер настроенный на шлюз1
На шлюзе2 на базе opnsense настроен проброс портов до rdp сервера но так как адреса источника интернетовские ответные пакеты от rdp сервера уходят в шлюз1.
Нужно как-то настроить nat на шлюзе2 чтобы интернетовские адреса источника подменялись на внутрисетевой адрес шлюза
Помогите настроить нестандартный nat в opnsense (PF)
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
lazhu
- сержант
- Сообщения: 247
- Зарегистрирован: 2013-08-10 14:28:38
- Контактная информация:
Помогите настроить нестандартный nat в opnsense (PF)
2 варианта:
1. Пробросить порты на шлюзе 1
2. Сделать шлюз 2 дефолтным для rdp сервера
1. Пробросить порты на шлюзе 1
2. Сделать шлюз 2 дефолтным для rdp сервера
-
nds
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2008-11-04 10:41:36
Помогите настроить нестандартный nat в opnsense (PF)
Я б с удовольствием, но уперто-параноидальное начальство мешает
-
nds
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2008-11-04 10:41:36
Помогите настроить нестандартный nat в opnsense (PF)
нашел в документации pf вроде бы подходящий пример
но не очень понятно как оно работаетКомбинация RDR и NAT:
С дополнительным правилом NAT на внутреннем интерфейсе может быть
решена проблема недостающей переадресации.
rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> $server
no nat on $int_if proto tcp from $int_if to $int_net
nat on $int_if proto tcp from $int_net to $server port 80 -> $int_if
Это заставит начальный пакет от клиента быть оттранслированным снова,
когда он пройдет назад через внутренний интерфейс, заменяя исходный
адрес клиента на внутренний адрес системы сетевой защиты. Внутренний
сервер ответит системе сетевой защиты, которая может полностью
изменить и NAT и RDR трансляции при отправке пакета локальному
клиенту. Эта конструкция довольно сложна, поскольку создает два
различных соединения. Необходимо проявить осторожность при написании
подобных правил, чтобы предотвратить передачу трафика к дугим ресурсам
в обход системы защиты. Обратите внимание, что правило rdr заставит
стек TCP/IP видеть, что пакеты прибывают на внутренний интерфейс с
адресом назначения во внутренней сети. Для того, чтобы запретить шлюзу
выдавать ICMP сообщение клиенту о том, что сервер доступен напрямую,
отключаем эту функцию: