Страница 1 из 1
Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 9:42:28
Daywalker
Здравствуйте.
Есть следующая схема (см рисунок) сети.
Сервер с freebsd 8.2, имеет три интерфейса - WAN (IP Z.Z.Z.Z) маска сети 30 . Смотрит в интернет.
Интерфейс DMZ c IP Y.Y.Y.Y смотрит в DMZ сеть
Интерфейс LAN с IP X.X.X.X смотрит в локальную сеть.
На сервере используется IPFW и ядерный NAT.
Во внутренней сети стоит стоит веб сервер, которому надо пробросить 80 порт.
Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.
Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?
Заранее спасибо.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 10:23:07
mak_v_
возможно, но вы расписали и нарисовали "не очень" все данные
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 10:30:33
Daywalker
mak_v_ писал(а):возможно, но вы расписали и нарисовали "не очень" все данные
А что надо еще написать?
И если возможно, то, если не трудно, подскажите куда копать?
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 10:50:34
mak_v_
хотя-бы адреса на интерфейсах шлюза, веб-сервера1, веб сервера2 - и картинку попонятнее:
WAN---------------IP_WAN---IP_LAN --------IP_WEB1
.................................IP_DMZ--------IP_WEB2
Правила "проброса"
не очень понятны.......
Код: Выделить всё
rdr pass on ${IP_WAN} proto tcp from ${ОТ_КОГО_СЕЙЧАС_РАБОТАЕТ?????} to ${НА_КАКОЙ_ИНТЕРФЕЙС?????} port 80 -> ${IP_WEB1}
а решением является вот такая строка
Код: Выделить всё
rdr pass on ${IP_WAN} proto tcp from ${КТО_ТУТ} to ${К_ЧЕМУ?} port 80 -> ${IP_WEB2}
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:08:37
Daywalker
Если я правильно понял, вы используете файервол pf. А у меня, как я написал IPFW.
В примере, вы осуществляете проброс с WAN интерфейса на внутренню сеть, а мне надо с DMZ интерфейса опять так во внутренню сеть.
IP в теме озвучены как X.X.X.X, X1.X1.X1.X2, Z.Z.Z.Z, Y.Y.Y.Y
Проброс осуществляется так
Код: Выделить всё
${fwcmd} nat 100 config if $ext_if log same_ports unreg_only reset \
redirect_port tcp ${forest}:80 ${ext_ip}:80
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:12:50
mak_v_
вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает
2) откуда, на какой интерфейс и порт редирект куда надо.
Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:19:08
lap
если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:20:38
mak_v_
Ну вот - все в догадках, как там у него......
Пусть опишет.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:23:04
lap
А нельзя на существующем вебсервере настроить проксирование для куда надо для нужного хоста? или поставить какойнить хттп-фронтенд на натовский сервер и чтоб он для разных доменов проксировал запросы на разные адреса. тогда проброс вообще можно убрать будет.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:24:41
lap
mak_v_ писал(а):Ну вот - все в догадках, как там у него......
Пусть опишет.
с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:29:49
Daywalker
mak_v_ писал(а):вы издеваетесь???
В примере ну не хрена не написано:
1) откуда, на какой интерфейс и порт редирект куда сейчас работает
Проблема в том, что на сервер на WAN интерфейсе уже проброшен 80 порт на другой веб сервер в локальной сети.
2) откуда, на какой интерфейс и порт редирект куда надо.
Возможно ли все запросы приходящие на 80 порт интерфеса DMZ, имеющего реальный IP: Y.Y.Y.Y, пробрасывать на внутренний web сервер с IP: X1.X1.X1.X1?
Соберите волю в кулак, потратьте 10 минут, опишите - и будет вам решение на IPFW
Попробую еще раз:
1) Сейчас, с WAN интерфейса 80-ый порт проброшен на веб сервер, (пусть будет web1) на рисунке не указан. web1 находится в локальной сети (не в DMZ) В правилах файервола указан, как
${forest}
2) Появился второй веб-сервер web2, тоже находится в локальной сети, необходимо на него пробросить запросы на 80 порт. Т.к. связка WAN (IP:Z.Z.Z.Z) порт 80 <--> web1 уже занято, есть желание использовать связку DMZ (IP:Y.Y.Y.Y) порт 80 <--> web2 (IP:X1.X1.X1.X1) порт 80
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:30:28
Daywalker
lap писал(а):если я правильно понял - у него на дмз дырке висит "белый" адрес, и он хочет чтобы пакет который летит из инета на этот адрес форвардился на какой-то левый адрес вебсервера 2.
Точно.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:30:48
Daywalker
lap писал(а):mak_v_ писал(а):Ну вот - все в догадках, как там у него......
Пусть опишет.
с таким настроем вы не сможете принять участие в тендере на оказание телепатических услуг по обеспечению доступа к сети интернет 28 образовательных учреждений Шамильского района РД
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:37:40
mak_v_
на гейте
Код: Выделить всё
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
на дмз
при условии что у вас между гейтом и дмз настроена маршрутизация а не нат.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 11:44:51
mak_v_
Либо оба правила на гейте
Код: Выделить всё
ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 12:44:32
Daywalker
mak_v_ писал(а):Либо оба правила на гейте
Код: Выделить всё
ipfw add fwd web1:80 ip from any to wan:80
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
А зачем строчка
, тут у меня просто проброс порта работает?
Правильно ли я понимаю, что строка
Код: Выделить всё
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
означает следующее:
Все, что приходит на Y.Y.Y.Y:80 должно перенаправляться на web2:80 (или на x1.x1.x1.x1:80 согласно моей картинке)?
P.S. гейт и дмз у меня одно и тоже - сервер с 3-мя интерфейсами.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 14:09:35
mak_v_
, тут у меня просто проброс порта работает?
Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 14:25:07
Daywalker
mak_v_ писал(а):, тут у меня просто проброс порта работает?
Это снова из раздела телепатии.....
Еще раз внятно:
первым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи гейта - редирект на веб сервер1
вторым правилом, на внешнем интерфейсе, все что идёт к внешнему айпи ДМЗ - редирект на веб сервер2
Ок.
Веб-сервера имеют серые адреса вида 192.168.92.xx. Если идет проброс порта, то при ответе от web1 будет подменен серый IP на IP WAN интерфейса. Если я правильно понимаю, то при этих правилах в ответах от веб серверов будет фигурировать серый IP, который моим провайдером тупо отбросится.
Я прав или не прав?
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 14:37:28
mak_v_
вы правы в части подмены, но как вы тогда "заруливаете в дмз на белый адрес"?
ну это ужас........ну нарисуйте вы полную, внятную картину!!!
может вам просто попросить у прова 2 адреса и повесить их алиасами на внешнем интерфейсе, а уж оттуда и разруливать...
Потому как не понятно, по каким признакам на внешнем интерфейсе можно проидентифицировать пакеты идущие к вашим загадкам.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 14:52:43
mak_v_
локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 15:17:47
Daywalker
mak_v_ писал(а):локалка и дмз - маршрутятся или натятся ?
мир и дмз - маршрутятся или натятся ?
Напишите хотя-бы полуреальные адреса, а то с Вашими пояснениями и буквами Х и Y - почти на столько же ясная картина, без одной буквы.
Локалка и дмз маршрутятся
интернет и дмз маршрутятся
интернет и локалка натятся.
Сеть ДМЗ - это сеть публичных адресов.
Локальная сеть - сеть серых адресов.
Т.е. сеть WAN Z.Z.Z.180/30
сеть DMZ Y.Y.Y.144/28
локальная сеть 192.168.93.0/24
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 15:46:36
mak_v_
Фух, ну уже хоть немного яснее.
Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.
Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 16:07:08
Daywalker
mak_v_ писал(а):Фух, ну уже хоть немного яснее.
Поскольку у вас ДМЗ - сеть пабликов, то из мира она будет видна (маршруты).
Вариант 1
1) На гейтвее - делаем редирект 80 порта приходящего на внешний интерфейс ----->на веб сервер1.
тут вопросов нет
2) Пакет предназначеный интерфейсу, смотрящему в дмз, приходящий откуда-либо редиректим на веб сервер2
соответственно от полетит внутрь на веб сервер2. Ответ поползёт через дефолт гетвей, т.е. через лан-интерфейс гейтвея.
Вот тут надо сделать ход конём. Нат для веб сервера2 , причем подменить не ван-интерфейсом, а дмз-интерфейсом. И дальше маршрутить.
Соотвественно задача упирается в правила фаервола. Думаю то тут надо применить конструкции аналогичные route-to replay-to в pf.
Если попроще - редиректить на дмз интерфейсе, ответ натить там же и отправлять в дефултгетвей.
Вот именно по второму вопросу у меня в голове не складывается картинка как надо сделать.
Для меня простое правило понятно: пакет пришел снаружи, я его пробрасываю внутрь, на обратном пути подменяю адрес на внешнем интерфейсе.
Это верно для случая 1.
А вот что делать со случаем 2.
Пакет пришел с интернета на интерфейс ДМЗ на порт 80. Для него (интерфейса) пакет пришел изнутри.
Надо его как-то направить на web2 порт 80. Тут надо применить правило
Код: Выделить всё
ipfw add fwd web2:80 ip from any to Y.Y.Y.Y:80
Пакет пошел на сервер, он его отдает на маршрут по умолчанию на LAN интерфейс гейтвея. Вот тут и возникает у меня вопрос как его засунуть на дмз интерфейс и на дмз интерфейсе подменить IP.
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-10 16:21:43
mak_v_
наверное где-то так, хотя точно не подскажу.....пользую PF
ipfw add 7000 skipto 8000 ip from $WEB2 to any in via $LAN_IF next-hop $DMZ_IF
ну и нат там соответственно
Re: Редирект с DMZ интерфейса.
Добавлено: 2011-08-22 9:00:50
Daywalker
Решил проблему так:
Запросил у провайдера пул адресов /28.
Воспользовавшись статьей
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ пример 2, сделал проброс портов
Всем спасибо за ответы.