Редирект с DMZ интерфейса.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 9:42:28

Здравствуйте.

Есть следующая схема (см рисунок) сети.

Сервер с freebsd 8.2, имеет три интерфейса - WAN (IP Z.Z.Z.Z) маска сети 30 . Смотрит в интернет.
Интерфейс DMZ c IP Y.Y.Y.Y смотрит в DMZ сеть
Интерфейс LAN с IP X.X.X.X смотрит в локальную сеть.


На сервере используется IPFW и ядерный NAT.
Во внутренней сети стоит стоит веб сервер, которому надо пробросить 80 порт.

Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.

Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?

Заранее спасибо.
Вложения
net.png
Схема сети
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 10:23:07

возможно, но вы расписали и нарисовали "не очень" все данные

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 10:30:33

mak_v_ писал(а):возможно, но вы расписали и нарисовали "не очень" все данные
А что надо еще написать?
И если возможно, то, если не трудно, подскажите куда копать?
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 10:50:34

хотя-бы адреса на интерфейсах шлюза, веб-сервера1, веб сервера2 - и картинку попонятнее:

WAN---------------IP_WAN---IP_LAN --------IP_WEB1
.................................IP_DMZ--------IP_WEB2

Правила "проброса"
не очень понятны.......

Код: Выделить всё

rdr pass on ${IP_WAN} proto tcp from ${ОТ_КОГО_СЕЙЧАС_РАБОТАЕТ?????} to ${НА_КАКОЙ_ИНТЕРФЕЙС?????}  port 80 -> ${IP_WEB1}
а решением является вот такая строка

Код: Выделить всё

rdr pass on ${IP_WAN} proto tcp from ${КТО_ТУТ} to ${К_ЧЕМУ?}  port 80 -> ${IP_WEB2}

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 11:08:37

Если я правильно понял, вы используете файервол pf. А у меня, как я написал IPFW.

В примере, вы осуществляете проброс с WAN интерфейса на внутренню сеть, а мне надо с DMZ интерфейса опять так во внутренню сеть.

IP в теме озвучены как X.X.X.X, X1.X1.X1.X2, Z.Z.Z.Z, Y.Y.Y.Y

Проброс осуществляется так

Код: Выделить всё

${fwcmd} nat 100 config if $ext_if log same_ports unreg_only reset \
redirect_port tcp ${forest}:80 ${ext_ip}:80 
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 11:12:50

вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает
2) откуда, на какой интерфейс и порт редирект куда надо.

Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение lap » 2011-08-10 11:19:08

если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.
Не сломалось - не чини.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 11:20:38

Ну вот - все в догадках, как там у него......
Пусть опишет.

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение lap » 2011-08-10 11:23:04

А нельзя на существующем вебсервере настроить проксирование для куда надо для нужного хоста? или поставить какойнить хттп-фронтенд на натовский сервер и чтоб он для разных доменов проксировал запросы на разные адреса. тогда проброс вообще можно убрать будет.
Не сломалось - не чини.

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение lap » 2011-08-10 11:24:41

mak_v_ писал(а):Ну вот - все в догадках, как там у него......
Пусть опишет.
с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД =)
Не сломалось - не чини.

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 11:29:49

mak_v_ писал(а):вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает
Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.
2) откуда, на какой интерфейс и порт редирект куда надо.
Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?
Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW
Попробую еще раз:
1) Сейчас, с WAN интерфейса 80-ый порт проброшен на веб сервер, (пусть будет web1) на рисунке не указан. web1 находится в локальной сети (не в DMZ) В правилах файервола указан, как ${forest}
2) Появился второй веб-сервер web2, тоже находится в локальной сети, необходимо на него пробросить запросы на 80 порт. Т.к. связка WAN (IP:Z.Z.Z.Z) порт 80 <--> web1 уже занято, есть желание использовать связку DMZ (IP:Y.Y.Y.Y) порт 80 <--> web2 (IP:X1.X1.X1.X1) порт 80
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 11:30:28

lap писал(а):если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.
Точно.
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 11:30:48

lap писал(а):
mak_v_ писал(а):Ну вот - все в догадках, как там у него......
Пусть опишет.
с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД =)
:smile:
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 11:37:40

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
на гейте

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
на дмз


при условии что у вас между гейтом и дмз настроена маршрутизация а не нат.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 11:44:51

Либо оба правила на гейте

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 12:44:32

mak_v_ писал(а):Либо оба правила на гейте

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
А зачем строчка

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
, тут у меня просто проброс порта работает?
Правильно ли я понимаю, что строка

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
означает следующее:

Все, что приходит на Y.Y.Y.Y:80 должно перенаправляться на web2:80 (или на x1.x1.x1.x1:80 согласно моей картинке)?

P.S. гейт и дмз у меня одно и тоже - сервер с 3-мя интерфейсами.
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 14:09:35

, тут у меня просто проброс порта работает?
Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 14:25:07

mak_v_ писал(а):
, тут у меня просто проброс порта работает?
Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2
Ок.
Веб-сервера имеют серые адреса вида 192.168.92.xx. Если идет проброс порта, то при ответе от web1 будет подменен серый IP на IP WAN интерфейса. Если я правильно понимаю, то при этих правилах в ответах от веб серверов будет фигурировать серый IP, который моим провайдером тупо отбросится.
Я прав или не прав?
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 14:37:28

вы правы в части подмены, но как вы тогда "заруливаете в дмз на белый адрес"?
ну это ужас........ну нарисуйте вы полную, внятную картину!!!
может вам просто попросить у прова 2 адреса и повесить их алиасами на внешнем интерфейсе, а уж оттуда и разруливать...
Потому как не понятно, по каким признакам на внешнем интерфейсе можно проидентифицировать пакеты идущие к вашим загадкам.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 14:52:43

локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.
Вложения
Безымянный.JPG

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 15:17:47

mak_v_ писал(а):локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.
Локалка и дмз маршрутятся
интернет и дмз маршрутятся
интернет и локалка натятся.

Сеть ДМЗ - это сеть публичных адресов.
Локальная сеть - сеть серых адресов.

Т.е. сеть WAN Z.Z.Z.180/30
сеть DMZ Y.Y.Y.144/28
локальная сеть 192.168.93.0/24
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 15:46:36

Фух, ну уже хоть немного яснее.

Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.

Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-10 16:07:08

mak_v_ писал(а):Фух, ну уже хоть немного яснее.

Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.

Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.
Вот именно по второму вопросу у меня в голове не складывается картинка как надо сделать. :(

Для меня простое правило понятно: пакет пришел снаружи, я его пробрасываю внутрь, на обратном пути подменяю адрес на внешнем интерфейсе.
Это верно для случая 1.

А вот что делать со случаем 2.
Пакет пришел с интернета на интерфейс ДМЗ на порт 80. Для него (интерфейса) пакет пришел изнутри.
Надо его как-то направить на web2 порт 80. Тут надо применить правило

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
Пакет пошел на сервер, он его отдает на маршрут по умолчанию на LAN интерфейс гейтвея. Вот тут и возникает у меня вопрос как его засунуть на дмз интерфейс и на дмз интерфейсе подменить IP. :(
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

mak_v_
проходил мимо

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение mak_v_ » 2011-08-10 16:21:43

наверное где-то так, хотя точно не подскажу.....пользую PF
ipfw add 7000 skipto 8000 ip from $WEB2 to any in via $LAN_IF next-hop $DMZ_IF
ну и нат там соответственно

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Редирект с DMZ интерфейса.

Непрочитанное сообщение Daywalker » 2011-08-22 9:00:50

Решил проблему так:
Запросил у провайдера пул адресов /28.
Воспользовавшись статьей http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ пример 2, сделал проброс портов

Всем спасибо за ответы.
http://blog.volobuev.su - Блог о системном и сетевом администрировании.