Страница 1 из 1

редирект внтури сети

Добавлено: 2013-04-15 16:19:19
c4sin
Здравствуйте, подскажите как на pf, или может сторонние редиректы поставить чтобы организовать следующее..

Есть шлюз FreeBsd + pf + squid, из вне конекчусь по внешнему домену mail.mydomain.ru, в pf след правило

Код: Выделить всё

rdr on $ext_if proto $both from any to $ext_ip port 443 -> 10.10.10.3 port 443
Прихожу допустим с этим компом в офис, попадаю в локалку, конекчусь по этому же доменному имени, попадаю конечноже на сервер фрибсд, который естественно меня ни куда не перенаправляет, так как я внутри сети.

Как настроить так чтобы фряха меня при конекте кидала на др сервер в локалке. Прописывание днс в локалке не вариант, так как много чего коннектиться и на фряху. Нужно всего по 443 порту перебрасывать на др сервер.
Помогите, чтото своими силами не справляюсь, rinetd и portfwd попробовал, не перекидывают.

Re: редирект внтури сети

Добавлено: 2013-04-15 16:35:08
fox
Можно попробовать пару вариантов.
1) Сделать редерект при помощи ssh:

Код: Выделить всё

ssh -p 22 -2 -N -f -L 192.168.250.250:80:192.168.64.216:80 fox@192.168.32.254
Коментарии не нужны. 192.168.250.250 приймет и пульнёт на 192.168.64.216 а 192.168.32.254 - адрес ssh сервера.

2) Вариант:
в /etc/hosts
прописать:

Код: Выделить всё

10.10.10.3          mail.mydomain.ru

Re: редирект внтури сети

Добавлено: 2013-04-15 16:45:41
c4sin

Код: Выделить всё

ssh -p 22 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
так чтото не работает(

а вариант второй не подходит, так как это применится ко всем, а не только к порту 443

Re: редирект внтури сети

Добавлено: 2013-04-15 20:07:37
Dmitriy_3206
В книге по PfSense называют два решения:
Зеркальный NAT
Зеркальный NAT - практически всегда предоставляет дополнительные возможности
взлома, такие как создание петли трафика через брандмауэр
и
7.5.2. Разделение DNS
Предпочтительная альтернативой зеркального NAT - развёртывание инфраструктуры с
разделённым DNS (Split DNS). Разделение DNS, это конфигурация, в которой ваш
публичный Интернет DNS разрешает ваши публичные IP, а DNS в вашей внутренней
сети разрешает внутренние, частные IP-адреса. Способ размещения будет зависеть от
вашей специфики инфраструктуры DNS, но конечный результат будет тем же. Таким
образом, вы можете обойти необходимость использования зеркального NAT путём
разрешения имён хостов во внутренних, частных IP адресах.

Re: редирект внтури сети

Добавлено: 2013-04-15 20:13:24
Dmitriy_3206
Еще решение в лоб правда на внешнем интерфейсу я не пробовал:
http://www.lissyara.su/articles/freebsd/trivia/rinetd/

Re: редирект внтури сети

Добавлено: 2013-04-15 20:47:08
c4sin
Dmitriy_3206 писал(а):Еще решение в лоб правда на внешнем интерфейсу я не пробовал:
http://www.lissyara.su/articles/freebsd/trivia/rinetd/
Написал же в самом первом сообщении
rinetd и portfwd попробовал, не перекидывают.

Re: редирект внтури сети

Добавлено: 2013-04-16 1:33:44
fox
Что именно с ssh не работает?
Порт в сокетах не появляется или что?

Re: редирект внтури сети

Добавлено: 2013-04-16 9:07:28
c4sin
fox писал(а):Что именно с ssh не работает?
Порт в сокетах не появляется или что?
угу, не появляется(

Re: редирект внтури сети

Добавлено: 2013-04-16 12:53:49
fox
Ну во первых должен быть свободный тот порт на который вы вешаете. Во вторых вам весь синтаксис понятен примера?
Может вы сделали логическую ошибку. Потому, что в качестве редеректа этот вариант работает безупречно! У вас sshd на 22 порту или на другом?

Re: редирект внтури сети

Добавлено: 2013-04-16 13:27:36
c4sin
fox писал(а):Ну во первых должен быть свободный тот порт на который вы вешаете. Во вторых вам весь синтаксис понятен примера?
Может вы сделали логическую ошибку. Потому, что в качестве редеректа этот вариант работает безупречно! У вас sshd на 22 порту или на другом?

Код: Выделить всё

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
The authenticity of host '[10.10.10.1]:22022 ([10.10.10.1]:22022)' can't be established.
RSA key fingerprint is d7:cf:b2:1f:c9:82:5e:58:88:f1:68:47:5b:16:6e:18.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[10.10.10.1]:22022' (RSA) to the list of known hosts.
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 free@10.10.10.1
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:
Permission denied, please try again.
free@10.10.10.1's password:

free# ssh -p 22022 -2 -N -f -L 10.10.10.1:443:10.10.10.3:443 admin@10.10.10.1
admin@10.10.10.1's password:
free# sockstat | grep 443
root     ssh        2782  4  tcp4   10.10.10.1:443        *:*
openfire java       944   148tcp4   *:7443                *:*

10.10.10.1 - сервак фряшный, он же должен перекинуть на 10.10.10.3

Re: редирект внтури сети

Добавлено: 2013-04-16 14:08:23
fox
ну... Правельно у вас появился листинг 443 порта на нужно интерфейсе.
Теперь работает?

Re: редирект внтури сети

Добавлено: 2013-04-17 10:30:19
c4sin
вот именно, нет( но сделал вообщем иначе все, через днс пошел, прописал mail.mydomen.ru два ip шника, теперь если фряха по порту 443 не доступа, у меня коннектиться на другой сервак.