Редирект с DMZ интерфейса.

[Daywalker]

Здравствуйте.

Есть следующая схема (см рисунок) сети.

Сервер с freebsd 8.2, имеет три интерфейса - WAN (IP Z.Z.Z.Z) маска сети 30 . Смотрит в интернет.
Интерфейс DMZ c IP Y.Y.Y.Y смотрит в DMZ сеть
Интерфейс LAN с IP X.X.X.X смотрит в локальную сеть.


На сервере используется IPFW и ядерный NAT.
Во внутренней сети стоит стоит веб сервер, которому надо пробросить 80 порт.

Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.

Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?

Заранее спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

возможно, но вы расписали и нарисовали "не очень" все данные

[Daywalker]

возможно, но вы расписали и нарисовали "не очень" все данные

А что надо еще написать?
И если возможно, то, если не трудно, подскажите куда копать?

[mak_v_]

хотя-бы адреса на интерфейсах шлюза, веб-сервера1, веб сервера2 - и картинку попонятнее:

WAN---------------IP_WAN---IP_LAN --------IP_WEB1
.................................IP_DMZ--------IP_WEB2

Правила "проброса"
не очень понятны.......

Код: Выделить всё

rdr pass on ${IP_WAN} proto tcp from ${ОТ_КОГО_СЕЙЧАС_РАБОТАЕТ?????} to ${НА_КАКОЙ_ИНТЕРФЕЙС?????}  port 80 -> ${IP_WEB1}

а решением является вот такая строка

Код: Выделить всё

rdr pass on ${IP_WAN} proto tcp from ${КТО_ТУТ} to ${К_ЧЕМУ?}  port 80 -> ${IP_WEB2}

[Daywalker]

Если я правильно понял, вы используете файервол pf. А у меня, как я написал IPFW.

В примере, вы осуществляете проброс с WAN интерфейса на внутренню сеть, а мне надо с DMZ интерфейса опять так во внутренню сеть.

IP в теме озвучены как X.X.X.X, X1.X1.X1.X2, Z.Z.Z.Z, Y.Y.Y.Y

Проброс осуществляется так

Код: Выделить всё

${fwcmd} nat 100 config if $ext_if log same_ports unreg_only reset \
redirect_port tcp ${forest}:80 ${ext_ip}:80 

[mak_v_]

вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает
2) откуда, на какой интерфейс и порт редирект куда надо.

Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW

[lap]

если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.

[mak_v_]

Ну вот - все в догадках, как там у него......
Пусть опишет.

[lap]

А нельзя на существующем вебсервере настроить проксирование для куда надо для нужного хоста? или поставить какойнить хттп-фронтенд на натовский сервер и чтоб он для разных доменов проксировал запросы на разные адреса. тогда проброс вообще можно убрать будет.

[lap]

Ну вот - все в догадках, как там у него......
Пусть опишет.

с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД

[Daywalker]

вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает

Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.

2) откуда, на какой интерфейс и порт редирект куда надо.

Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?

Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW

Попробую еще раз:
1) Сейчас, с WAN интерфейса 80-ый порт проброшен на веб сервер, (пусть будет web1) на рисунке не указан. web1 находится в локальной сети (не в DMZ) В правилах файервола указан, как ${forest}
2) Появился второй веб-сервер web2, тоже находится в локальной сети, необходимо на него пробросить запросы на 80 порт. Т.к. связка WAN (IP:Z.Z.Z.Z) порт 80 <--> web1 уже занято, есть желание использовать связку DMZ (IP:Y.Y.Y.Y) порт 80 <--> web2 (IP:X1.X1.X1.X1) порт 80

[Daywalker]

если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.

Точно.

[Daywalker]

Ну вот - все в догадках, как там у него......
Пусть опишет.

с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД

[mak_v_]

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80

на гейте

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

на дмз


при условии что у вас между гейтом и дмз настроена маршрутизация а не нат.

[mak_v_]

Либо оба правила на гейте

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

[Daywalker]

Либо оба правила на гейте

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

А зачем строчка

Код: Выделить всё

ipfw add fwd web1:80 ip from any to wan:80

, тут у меня просто проброс порта работает?
Правильно ли я понимаю, что строка

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

означает следующее:

Все, что приходит на Y.Y.Y.Y:80 должно перенаправляться на web2:80 (или на x1.x1.x1.x1:80 согласно моей картинке)?

P.S. гейт и дмз у меня одно и тоже - сервер с 3-мя интерфейсами.

[mak_v_]

, тут у меня просто проброс порта работает?

Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2

[Daywalker]

, тут у меня просто проброс порта работает?

Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2

Ок.
Веб-сервера имеют серые адреса вида 192.168.92.xx. Если идет проброс порта, то при ответе от web1 будет подменен серый IP на IP WAN интерфейса. Если я правильно понимаю, то при этих правилах в ответах от веб серверов будет фигурировать серый IP, который моим провайдером тупо отбросится.
Я прав или не прав?

[mak_v_]

вы правы в части подмены, но как вы тогда "заруливаете в дмз на белый адрес"?
ну это ужас........ну нарисуйте вы полную, внятную картину!!!
может вам просто попросить у прова 2 адреса и повесить их алиасами на внешнем интерфейсе, а уж оттуда и разруливать...
Потому как не понятно, по каким признакам на внешнем интерфейсе можно проидентифицировать пакеты идущие к вашим загадкам.

[mak_v_]

локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.

[Daywalker]

локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.

Локалка и дмз маршрутятся
интернет и дмз маршрутятся
интернет и локалка натятся.

Сеть ДМЗ - это сеть публичных адресов.
Локальная сеть - сеть серых адресов.

Т.е. сеть WAN Z.Z.Z.180/30
сеть DMZ Y.Y.Y.144/28
локальная сеть 192.168.93.0/24

[mak_v_]

Фух, ну уже хоть немного яснее.

Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.

Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.

[Daywalker]

Фух, ну уже хоть немного яснее.

Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.

Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.

Вот именно по второму вопросу у меня в голове не складывается картинка как надо сделать.

Для меня простое правило понятно: пакет пришел снаружи, я его пробрасываю внутрь, на обратном пути подменяю адрес на внешнем интерфейсе.
Это верно для случая 1.

А вот что делать со случаем 2.
Пакет пришел с интернета на интерфейс ДМЗ на порт 80. Для него (интерфейса) пакет пришел изнутри.
Надо его как-то направить на web2 порт 80. Тут надо применить правило

Код: Выделить всё

ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80

Пакет пошел на сервер, он его отдает на маршрут по умолчанию на LAN интерфейс гейтвея. Вот тут и возникает у меня вопрос как его засунуть на дмз интерфейс и на дмз интерфейсе подменить IP.

[mak_v_]

наверное где-то так, хотя точно не подскажу.....пользую PF

ipfw add 7000 skipto 8000 ip from $WEB2 to any in via $LAN_IF next-hop $DMZ_IF

ну и нат там соответственно

[Daywalker]

Решил проблему так:
Запросил у провайдера пул адресов /28.
Воспользовавшись статьей http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ пример 2, сделал проброс портов

Всем спасибо за ответы.