https://opennet.ru/openforum/vsluhforumID10/4438.html Добрый день!<br><br> Перелазил кучу форумов и вроде как должно работать, а у меня не работает.<br>Ситуация такая. Поднял на MS VirtualPC FreeBSD 8.0<br><br>Пытаюсь настроить pf чтобы заменить в дальнейшем существующий фаервол.<br>Соответственно интерфейсы все локальные, IP тоже.<br><br>pf.conf<br>ext_if = "de0"<br>ext_ip="192.168.5.11"<br><br>#нат работает<br>nat on $ext_if from $int_net to any -&gt; ($ext_if)<br><br>#а редирект нет<br>rdr pass on $ext_if proto tcp from any to $ext_if port 443 -&gt; 192.168.0.2 port 443<br>rdr pass on $ext_if proto tcp from any to $ext_if port 80 -&gt; 192.168.0.2 port 1080<br><br>pass quick all<br><br>Может такое в моей ситуации и не должно работать?<br>ifconfig FreeBSD<br>de0 192.168.5.11<br>de1 192.168.0.245<br>gate 192.168.5.10<br><br>ipconfig локальной ВинХП (эмуляция доступа снаружи)<br>192.168.5.55<br>gate 192.168.5.11<br><br>пытаюсь подключиться браузером на https://192.168.5.11 и на http://192.168.5.11 и ничего не получается<br><br>если на локальной машине ВинХП (эмуляция доступа изнутри)<br>192.168.0.201<br>gate 192.168.0.245<br>то доступ в ин https://opennet.ru/openforum/vsluhforumID10/4438.html#11 Fri, 04 Dec 2009 09:33:44 GMT интересно получается. редирект без НАТ совсем не работает<br><br>попробовал настроить редирект из локальной сети.<br><br>&gt;ext_if = "de0"<br>&gt;int_if = "de1"<br>&gt;ext_ip="192.168.5.11"<br>&gt;int_ip="192.168.0.245"<br>&gt;int_net="192.168.0.0/24"<br>&gt;почтовый сервер 1ая сетевая 192.168.0.2, вторая сетевая 192.168.5.2<br>&gt;клиент 192.168.0.201<br>&gt;шлюз 192.168.0.245<br><br>nat on $ext_if from $int_net to any port -&gt; ($ext_if)<br><br>вот такой редирект не работает <br>rdr on $int_if proto tcp from $int_net to $int_ip port 443 -&gt; 192.168.0.2 port 443<br>https://192.168.0.245<br><br>а вот такой работает<br>rdr on $int_if proto tcp from $int_net to $int_ip port 443 -&gt; 192.168.5.2 port 443<br>https://192.168.0.245<br><br>Так же с клиента почтовый сервер <br>отвечает по https://192.168.0.2 и отвечат по https://192.168.5.2<br><br>Почему не редиректится на ИП во внутренней подсети, а только на ИП внешней подсети?<br> https://opennet.ru/openforum/vsluhforumID10/4438.html#10 Fri, 04 Dec 2009 09:08:52 GMT В общем всем спасибо!<br><br>Понятно, что правила примерно правильные как и в книжках.<br>Буду разбираться дальше.<br> https://opennet.ru/openforum/vsluhforumID10/4438.html#9 Fri, 04 Dec 2009 09:02:35 GMT &gt;у тебя тут ошибка, надо не "to $ext_if", а "to $ext_ip", то <br>&gt;есть <br>&gt;rdr pass on $ext_if proto tcp from any to $ext_ip port 443 -&gt; 192.168.0.2 port 443<br><br>Здесь нет ошибки, можно и так, и так указывать, если указать интерфейс, то будут браться ИП адреса из rc.conf кажется<br><br>В любом случае при просмотре правил НАТ pfctl -sn поле $ext_if заменяется на IP адрес<br><br><br><br> https://opennet.ru/openforum/vsluhforumID10/4438.html#8 Thu, 03 Dec 2009 15:23:05 GMT <br>&gt;ext_if = "de0" <br>&gt;ext_ip="192.168.5.11" <br>&gt;<br>&gt;#а редирект нет <br>&gt;rdr pass on $ext_if proto tcp from any to $ext_if port 443 -&gt; 192.168.0.2 port 443<br>&gt;rdr pass on $ext_if proto tcp from any to $ext_if port 80 -&gt; 192.168.0.2 port 1080<br>&gt;<br><br>у тебя тут ошибка, надо не "to $ext_if", а "to $ext_ip", то есть<br>rdr pass on $ext_if proto tcp from any to $ext_ip port 443 -&gt; 192.168.0.2 port 443<br>rdr pass on $ext_if proto tcp from any to $ext_ip port 80 -&gt; 192.168.0.2 port 1080<br><br>на русский это переводится так:<br>повесить правило на внешнюю карту, для tcp пакатов, который приходят откуда угодно, НО НА МОЙ IP АДРЕС, и на такой-то порт - вот их то и перекидывать на такой-то внутренний IP адрес и такой порт.<br><br>а ты не указал точный адрес, который надо мониторить...<br>хотя по мне, то могли бы и сделать, чтобы и по все карте смотрело...<br> https://opennet.ru/openforum/vsluhforumID10/4438.html#7 Thu, 03 Dec 2009 11:39:52 GMT У меня вот так работает<br>nat on $ext_if from $nat_user to any -&gt; $ext_if<br> https://opennet.ru/openforum/vsluhforumID10/4438.html#6 Thu, 03 Dec 2009 11:28:55 GMT &gt;&gt;Вообще я НАТ хотел использовать, для доступа в интернет, но т.к. что-то <br>&gt;&gt;не заработало в первоначальной конфигурации, начал пробовать разные вариации. <br>&gt;&gt;С PF разбираюсь только третий день, а c IPFW работал 3 года <br>&gt;&gt;назад. :) <br>&gt;<br>&gt;посмотри живие конфиги http://wiki.zeynalov.com/vagif:docs:freebsd:pf <br>&gt;а вообще есть родная документация http://www.openbsd.org/faq/pf/index.html <br><br>Да пересмотрел не один конфиг уже и книжку вот эту почитал (раздел про НАТ)<br>http://www.bsd.md/BSDA/BSDCert/BSDA-course/apcs02.html#pf-pf.conf-nat-config<br><br>Вот у всех правило вот так пишется, как я писал в первом посте<br><br>&gt;# NAT<br>&gt;nat on $ext_if from $int_net to any -&gt; ($ext_if)<br>&gt;rdr on $ext_if proto {udp} to $my_addr port 5060 -&gt; 192.168.22.101<br><br>у меня так почему-то не работает, а работает только если прописать НАТ правило вот так<br><br>&gt;nat on $ext_if from any to any -&gt; ($ext_if)<br><br>Мне не нравится "from any"<br><br>Может конечно это из-за того что на виртуальной машине всё это хозяйство. Нет возможности протестировать на реальн https://opennet.ru/openforum/vsluhforumID10/4438.html#5 Thu, 03 Dec 2009 08:00:41 GMT &gt;Вообще я НАТ хотел использовать, для доступа в интернет, но т.к. что-то <br>&gt;не заработало в первоначальной конфигурации, начал пробовать разные вариации. <br>&gt;С PF разбираюсь только третий день, а c IPFW работал 3 года <br>&gt;назад. :) <br><br>посмотри живие конфиги http://wiki.zeynalov.com/vagif:docs:freebsd:pf<br>а вообще есть родная документация http://www.openbsd.org/faq/pf/index.html<br> https://opennet.ru/openforum/vsluhforumID10/4438.html#4 Thu, 03 Dec 2009 07:07:35 GMT &gt;<br>&gt;&gt;А как тогда прописать правило чтобы снаружи редирект работал? <br>&gt;&gt;<br>&gt;&gt;&gt;nat on $ext_if from any to any port 443 -&gt; ($ext_if)<br>&gt;&gt;<br>&gt;<br>&gt;у меня так <br>&gt;rdr pass on $ext_if proto {tcp,udp} to $my_addr port 27015 -&gt; 192.168.22.33<br>&gt;<br>&gt;почему ты для редиректа используешь nat? <br><br>Вообще я НАТ хотел использовать, для доступа в интернет, но т.к. что-то не заработало в первоначальной конфигурации, начал пробовать разные вариации.<br>С PF разбираюсь только третий день, а c IPFW работал 3 года назад. :)<br><br><br> https://opennet.ru/openforum/vsluhforumID10/4438.html#3 Wed, 02 Dec 2009 19:35:11 GMT <br>&gt;А как тогда прописать правило чтобы снаружи редирект работал? <br>&gt;<br>&gt;&gt;nat on $ext_if from any to any port 443 -&gt; ($ext_if)<br>&gt;<br><br>у меня так<br>rdr pass on $ext_if proto {tcp,udp} to $my_addr port 27015 -&gt; 192.168.22.33<br><br>почему ты для редиректа используешь nat?<br><br><br>