The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD 7.0 ipfw+natd"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"FreeBSD 7.0 ipfw+natd"  +/
Сообщение от alex1147 email(ok) on 02-Апр-10, 11:18 
Добрый день!
Нужен совет по правильной настройке natd и ipfw.
Имеется Фря 7.0, настроена как шлюз, с натом и файрволлом. На Фре работает squid с прозрачным проксированием.
Также имеем вебсервер внутри сети (192.168.0.35), на котором крутится сайт (https://DOMEN.RU/) на HTTPS порту. В Нате стоит проброс пакетов для всех обращающихся на шлюз HTTPS порта на внутренний IP-адрес Вебсервера HTTPS порта.

Правила ipfw
--------------------------------
iip-внутр.IP
lo-127.0.0.1
#проброс локальных пакетов в обход сквида, дабы не кешировать
${fwcmd} add 151 fwd ${iip},80 log tcp from 192.168.0.0:255.255.255.0 to ${iip} 80
#Остальное заворачиваем на сквид по внутр.интерфейсу
${fwcmd} add 152 fwd ${lo},3128 log tcp from 192.168.0.0:255.255.255.0 to any 80 in via rl0
#Дальше натим
${fwcmd} add 156 divert natd all from any to any via ${iip}
--------------------------------


Правила natd
--------------------------------
unregistered_only yes
#Проброс извне, внутрь на локальный вебсервер.
redirect_port   tcp     192.168.0.35:443  ВНЕШ.IP.ШЛЮЗА:443
--------------------------------

Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает, за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера обалмывается. Подскажите плз, как обойти данную ситуацию?
Заранее спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD 7.0 ipfw+natd"  +/
Сообщение от mglushak email on 02-Апр-10, 15:09 
>[оверквотинг удален]
>redirect_port   tcp     192.168.0.35:443  ВНЕШ.IP.ШЛЮЗА:443
>--------------------------------
>
>Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает,
>за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу
>по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что
>при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не
>попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера
>обалмывается. Подскажите плз, как обойти данную ситуацию?
>Заранее спасибо.

===================================================
1. Обращаться по локальному адресу 192.168.*
2. Прописать в ДНС локальном DOMEN.RU - адресс сервера

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "FreeBSD 7.0 ipfw+natd"  +/
Сообщение от alex1147 email(ok) on 02-Апр-10, 18:51 

>===================================================
>1. Обращаться по локальному адресу 192.168.*
>2. Прописать в ДНС локальном DOMEN.RU - адресс сервера

Обращаться по локальному не вариант, тк сайт, который крутится на локальной машине жестко привязывается к имени домена, и должен быть доступен как локально, так и внешне.

С ДНСом можно попробовать поиграть, но засада может быть в том, что сам шлюз также является вторичным ДНС-ом, поэтому сосет зоны с первичного, а сменив IP на первичном ДНС, внешний доступ станет крайне нестабилен, вернее его совсем не будет((
Есть еще варианты?
Может кто предложит копнуть НАТ или Файлволл?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "FreeBSD 7.0 ipfw+natd"  +/
Сообщение от DenSha (??) on 08-Апр-10, 00:57 
Доброго дня.


>Правила ipfw
>--------------------------------
>iip-внутр.IP
>#проброс локальных пакетов в обход сквида, дабы не кешировать
>${fwcmd} add 151 fwd ${iip},80 log tcp from 192.168.0.0:255.255.255.0 to ${iip} 80

"пробрасывать на внутренний адрес пакет, если он шел на _ВНУТРЕННИЙ_ адрес" - в чем подвох? Как этот пакет сюда попал? Или что такое "внутренний"?

По логам HTTPS трафик попадает на 151-е правило?

>#Остальное заворачиваем на сквид по внутр.интерфейсу
>${fwcmd} add 152 fwd ${lo},3128 log tcp from 192.168.0.0:255.255.255.0 to any 80
>in via rl0
>#Дальше натим
>Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает,

Что-то мне подсказывает, что это - не вся схема :))

>за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу
>по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что
>при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не
>попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера
>обалмывается. Подскажите плз, как обойти данную ситуацию?
>Заранее спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "FreeBSD 7.0 ipfw+natd"  +/
Сообщение от alex1147 email(ok) on 16-Апр-10, 18:23 
>[оверквотинг удален]
>>Обращение к веб-серверу происходит по имени https://DOMEN.RU/. И все эта схема работает,
>
>Что-то мне подсказывает, что это - не вся схема :))
>
>>за исключением того, если из внутренней подсети обращаться к внутреннему Вебсерверу
>>по имени https://DOMEN.RU/. Как я понял, это происходит из-за того, что
>>при обращении из внутренней подсетки к внешнему адресу шлюза, пакеты не
>>попадают на НАТ, и из-за это проброс на внутренний адрес Веб-сервера
>>обалмывается. Подскажите плз, как обойти данную ситуацию?
>>Заранее спасибо.

Вобщем решил особо моск не ломать, а просто поставил на сервер с ресурсом https://DOMEN.RU/ внешний IP и сразу стало жить легче))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру