Помогите настроить нестандартный nat в opnsense (PF)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nds
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-11-04 10:41:36

Помогите настроить нестандартный nat в opnsense (PF)

Непрочитанное сообщение nds » 2022-12-05 14:11:30

Доброго времени суток
Есть сеть с двумя шлюзами
Есть rdp сервер настроенный на шлюз1
На шлюзе2 на базе opnsense настроен проброс портов до rdp сервера но так как адреса источника интернетовские ответные пакеты от rdp сервера уходят в шлюз1.
Нужно как-то настроить nat на шлюзе2 чтобы интернетовские адреса источника подменялись на внутрисетевой адрес шлюза

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

lazhu
сержант
Сообщения: 247
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Помогите настроить нестандартный nat в opnsense (PF)

Непрочитанное сообщение lazhu » 2022-12-06 12:36:17

2 варианта:
1. Пробросить порты на шлюзе 1
2. Сделать шлюз 2 дефолтным для rdp сервера

nds
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-11-04 10:41:36

Помогите настроить нестандартный nat в opnsense (PF)

Непрочитанное сообщение nds » 2022-12-06 16:05:32

Я б с удовольствием, но уперто-параноидальное начальство мешает

nds
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-11-04 10:41:36

Помогите настроить нестандартный nat в opnsense (PF)

Непрочитанное сообщение nds » 2022-12-08 14:08:52

нашел в документации pf вроде бы подходящий пример
Комбинация RDR и NAT:

С дополнительным правилом NAT на внутреннем интерфейсе может быть
решена проблема недостающей переадресации.

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> $server
no nat on $int_if proto tcp from $int_if to $int_net
nat on $int_if proto tcp from $int_net to $server port 80 -> $int_if

Это заставит начальный пакет от клиента быть оттранслированным снова,
когда он пройдет назад через внутренний интерфейс, заменяя исходный
адрес клиента на внутренний адрес системы сетевой защиты. Внутренний
сервер ответит системе сетевой защиты, которая может полностью
изменить и NAT и RDR трансляции при отправке пакета локальному
клиенту. Эта конструкция довольно сложна, поскольку создает два
различных соединения. Необходимо проявить осторожность при написании
подобных правил, чтобы предотвратить передачу трафика к дугим ресурсам
в обход системы защиты. Обратите внимание, что правило rdr заставит
стек TCP/IP видеть, что пакеты прибывают на внутренний интерфейс с
адресом назначения во внутренней сети. Для того, чтобы запретить шлюзу
выдавать ICMP сообщение клиенту о том, что сервер доступен напрямую,
отключаем эту функцию:
но не очень понятно как оно работает