Есть ситуация - несколько серверов с сервисами в интернете.
Они спрятанны за фаерволлом и подменной адресов. То есть, на интерфейсах самих серверов приватные адреса (типа 192.168), а все запросы продящие на публичные (внешние) ихние адреса транслируются фаерволом в приватные.212.x.y.a -> 192.168.z.a
212.x.y.b --> 192.168.z.b
и т.д.необходимо реализовать такую систему на PF.
Есть опыт или просто идеи по построению такой системы?
ТО есть надо выставить наружу сервера с приватными адресами?
см доки по PF
а лучше почитай http://dreamcatcher.ru/docs/pf.html
и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>ТО есть надо выставить наружу сервера с приватными адресами?
>см доки по PF
>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.htmlЁ-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>>ТО есть надо выставить наружу сервера с приватными адресами?
>>см доки по PF
>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>
>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>
Не вижу загвоздки.
nat from any to private_address -> public_addressИли я чего-то не уловил?
>>>ТО есть надо выставить наружу сервера с приватными адресами?
>>>см доки по PF
>>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>>
>>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>>
>
>
>Не вижу загвоздки.
>nat from any to private_address -> public_address
>
>Или я чего-то не уловил?binat конечно же. простите.
>>>>ТО есть надо выставить наружу сервера с приватными адресами?
>>>>см доки по PF
>>>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>>>
>>>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>>>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>>>
>>
>>
>>Не вижу загвоздки.
>>nat from any to private_address -> public_address
>>
>>Или я чего-то не уловил?
>
>binat конечно же. простите.
не уловил. nat и binat должны быть на каом либо интерфейсе (на внутреннем в этом случае)... то есть получаем следующую конструкцию:rdr on ($ext_if) from any to $public -> ($int_if)
binat on ($int_if) from any to $public -> $privateменя это смущает.
что-то я тогда видимо не понимаю условий задачи.
еще раз более внятно не огласите?
>что-то я тогда видимо не понимаю условий задачи.
>еще раз более внятно не огласите?есть что-то подобное (трасируем путь к www.some.com):
...
1.1.1.1 - firewall.some.com
1.1.1.2 - www.some.comэтот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
Требуется реализовать эту систему на PF.
>>что-то я тогда видимо не понимаю условий задачи.
>>еще раз более внятно не огласите?
>
>есть что-то подобное (трасируем путь к www.some.com):
>
>...
>1.1.1.1 - firewall.some.com
>1.1.1.2 - www.some.com
>
>этот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com
>есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он
>должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
>
>Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
>
>Требуется реализовать эту систему на PF.просто bimap без rdr
>>>что-то я тогда видимо не понимаю условий задачи.
>>>еще раз более внятно не огласите?
>>
>>есть что-то подобное (трасируем путь к www.some.com):
>>
>>...
>>1.1.1.1 - firewall.some.com
>>1.1.1.2 - www.some.com
>>
>>этот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com
>>есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он
>>должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
>>
>>Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
>>
>>Требуется реализовать эту систему на PF.
>
>просто bimap без rdr
bimap или binat всё-таки?
>bimap или binat всё-таки?bimap в IPF
binat в PF