https://www.opennet.ru/openforum/vsluhforumID10/4567.html Добрый день!<br>Нужен совет по правильной настройке natd и ipfw.<br>Имеется Фря 7.0, настроена как шлюз, с натом и файрволлом. На Фре работает squid с прозрачным проксированием.<br>Также имеем вебсервер внутри сети (192.168.0.35), на котором крутится сайт (https://DOMEN.RU/) на HTTPS порту. В Нате стоит проброс пакетов для всех обращающихся на шлюз HTTPS порта на внутренний IP-адрес Вебсервера HTTPS порта.<br><br>Правила ipfw<br>--------------------------------<br>iip-внутр.IP<br>lo-127.0.0.1<br>#проброс локальных пакетов в обход сквида, дабы не кешировать<br>${fwcmd} add 151 fwd ${iip},80 log tcp from 192.168.0.0:255.255.255.0 to ${iip} 80<br>#Остальное заворачиваем на сквид по внутр.интерфейсу<br>${fwcmd} add 152 fwd ${lo},3128 log tcp from 192.168.0.0:255.255.255.0 to any 80 in via rl0<br>#Дальше натим<br>${fwcmd} add 156 divert natd all from any to any via ${iip}<br>--------------------------------<br><br><br>Правила natd<br>--------------------------------<br>unregistered_only yes<br>#Проброс извне, внутрь на локальный вебсервер.<br>redirect_port https://www.opennet.ru/openforum/vsluhforumID10/4567.html#4 Fri, 16 Apr 2010 14:23:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает, <br>&gt;<br>&gt;Что-то мне подсказывает, что это - не вся схема :)) <br>&gt;<br>&gt;&gt;за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу <br>&gt;&gt;по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что <br>&gt;&gt;при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не <br>&gt;&gt;попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера <br>&gt;&gt;обалмывается. Подскажите плз, как обойти данную ситуацию? <br>&gt;&gt;Заранее спасибо. <br><br>Вобщем решил особо моск не ломать, а просто поставил на сервер с ресурсом https://DOMEN.RU/ внешний IP и сразу стало жить легче))<br> https://www.opennet.ru/openforum/vsluhforumID10/4567.html#3 Wed, 07 Apr 2010 20:57:24 GMT Доброго дня.<br><br><br>&gt;Правила ipfw <br>&gt;-------------------------------- <br>&gt;iip-внутр.IP <br>&gt;#проброс локальных пакетов в обход сквида, дабы не кешировать <br>&gt;${fwcmd} add 151 fwd ${iip},80 log tcp from 192.168.0.0:255.255.255.0 to ${iip} 80 <br><br>"пробрасывать на внутренний адрес пакет, если он шел на _ВНУТРЕННИЙ_ адрес" - в чем подвох? Как этот пакет сюда попал? Или что такое "внутренний"?<br><br>По логам HTTPS трафик попадает на 151-е правило?<br><br>&gt;#Остальное заворачиваем на сквид по внутр.интерфейсу <br>&gt;${fwcmd} add 152 fwd ${lo},3128 log tcp from 192.168.0.0:255.255.255.0 to any 80 <br>&gt;in via rl0 <br>&gt;#Дальше натим <br>&gt;Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает, <br><br>Что-то мне подсказывает, что это - не вся схема :))<br><br>&gt;за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу <br>&gt;по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что <br>&gt;при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не <br>&gt;попадают на НАТ, и из-за эт https://www.opennet.ru/openforum/vsluhforumID10/4567.html#2 Fri, 02 Apr 2010 14:51:53 GMT <br>&gt;=================================================== <br>&gt;1. Обращаться по локальному адресу 192.168.* <br>&gt;2. Прописать в ДНС локальном DOMEN.RU - адресс сервера <br><br>Обращаться по локальному не вариант, тк сайт, который крутится на локальной машине жестко привязывается к имени домена, и должен быть доступен как локально, так и внешне.<br><br>С ДНСом можно попробовать поиграть, но засада может быть в том, что сам шлюз также является вторичным ДНС-ом, поэтому сосет зоны с первичного, а сменив IP на первичном ДНС, внешний доступ станет крайне нестабилен, вернее его совсем не будет((<br>Есть еще варианты?<br>Может кто предложит копнуть НАТ или Файлволл?<br> https://www.opennet.ru/openforum/vsluhforumID10/4567.html#1 Fri, 02 Apr 2010 11:09:17 GMT &gt;[оверквотинг удален]<br>&gt;redirect_port tcp 192.168.0.35:443 ВНЕШ.IP.ШЛЮЗА:443 <br>&gt;-------------------------------- <br>&gt;<br>&gt;Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает, <br>&gt;за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу <br>&gt;по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что <br>&gt;при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не <br>&gt;попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера <br>&gt;обалмывается. Подскажите плз, как обойти данную ситуацию? <br>&gt;Заранее спасибо. <br><br>===================================================<br>1. Обращаться по локальному адресу 192.168.*<br>2. Прописать в ДНС локальном DOMEN.RU - адресс сервера<br><br>