URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2354
[ Назад ]

Исходное сообщение
"PF и подмена адресов."
Отправлено miha_nax , 11-Окт-05 13:29

Есть ситуация - несколько серверов с сервисами в интернете.
Они спрятанны за фаерволлом и подменной адресов. То есть, на интерфейсах самих серверов приватные адреса (типа 192.168), а все запросы продящие на публичные (внешние) ихние адреса транслируются фаерволом в приватные.
212.x.y.a -> 192.168.z.a
212.x.y.b --> 192.168.z.b
и т.д.
необходимо реализовать такую систему на PF.
Есть опыт или просто идеи по построению такой системы?

Содержание

PF и подмена адресов.,_Ale_, 15:37 , 11-Окт-05
- PF и подмена адресов.,miha_nax, 16:22 , 11-Окт-05
  - PF и подмена адресов.,Xela, 17:32 , 11-Окт-05
    - PF и подмена адресов.,Xela, 17:33 , 11-Окт-05
      - PF и подмена адресов.,miha_nax, 19:08 , 11-Окт-05
        
        PF и подмена адресов.,Xela, 19:17 , 11-Окт-05
        
        PF и подмена адресов.,miha_nax, 00:20 , 12-Окт-05
        
        PF и подмена адресов.,Simps, 12:12 , 12-Окт-05
        
        PF и подмена адресов.,miha_nax, 14:10 , 12-Окт-05
        
        PF и подмена адресов.,Xela, 14:18 , 12-Окт-05

Сообщения в этом обсуждении

"PF и подмена адресов."
Отправлено _Ale_ , 11-Окт-05 15:37

ТО есть надо выставить наружу сервера с приватными адресами?
см доки по PF
а лучше почитай http://dreamcatcher.ru/docs/pf.html
и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html

"PF и подмена адресов."
Отправлено miha_nax , 11-Окт-05 16:22

>ТО есть надо выставить наружу сервера с приватными адресами?
>см доки по PF
>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.

"PF и подмена адресов."
Отправлено Xela , 11-Окт-05 17:32

>>ТО есть надо выставить наружу сервера с приватными адресами?
>>см доки по PF
>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>
>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>

Не вижу загвоздки.
nat from any to private_address -> public_address
Или я чего-то не уловил?

"PF и подмена адресов."
Отправлено Xela , 11-Окт-05 17:33

>>>ТО есть надо выставить наружу сервера с приватными адресами?
>>>см доки по PF
>>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>>
>>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>>
>
>
>Не вижу загвоздки.
>nat from any to private_address -> public_address
>
>Или я чего-то не уловил?
binat конечно же. простите.

"PF и подмена адресов."
Отправлено miha_nax , 11-Окт-05 19:08

>>>>ТО есть надо выставить наружу сервера с приватными адресами?
>>>>см доки по PF
>>>>а лучше почитай http://dreamcatcher.ru/docs/pf.html
>>>>и еще http://dreamcatcher.ru/docs/pf-faq-part2-rus.html
>>>
>>>Ё-моё... документацию я читать умею. Да, нужно выставить сервера. Но у всех
>>>серверов РАЗНЫЕ внешние (публичные) адреса должны быть. В этом-то и загвоздка.
>>>
>>
>>
>>Не вижу загвоздки.
>>nat from any to private_address -> public_address
>>
>>Или я чего-то не уловил?
>
>binat конечно же. простите.

не уловил. nat и binat должны быть на каом либо интерфейсе (на внутреннем в этом случае)... то есть получаем следующую конструкцию:
rdr on ($ext_if) from any to $public -> ($int_if)
binat on ($int_if) from any to $public -> $private
меня это смущает.

"PF и подмена адресов."
Отправлено Xela , 11-Окт-05 19:17

что-то я тогда видимо не понимаю условий задачи.
еще раз более внятно не огласите?

"PF и подмена адресов."
Отправлено miha_nax , 12-Окт-05 00:20

>что-то я тогда видимо не понимаю условий задачи.
>еще раз более внятно не огласите?
есть что-то подобное (трасируем путь к www.some.com):
...
1.1.1.1 - firewall.some.com
1.1.1.2 - www.some.com
этот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
Требуется реализовать эту систему на PF.

"PF и подмена адресов."
Отправлено Simps , 12-Окт-05 12:12

>>что-то я тогда видимо не понимаю условий задачи.
>>еще раз более внятно не огласите?
>
>есть что-то подобное (трасируем путь к www.some.com):
>
>...
>1.1.1.1 - firewall.some.com
>1.1.1.2 - www.some.com
>
>этот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com
>есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он
>должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
>
>Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
>
>Требуется реализовать эту систему на PF.
просто bimap без rdr

"PF и подмена адресов."
Отправлено miha_nax , 12-Окт-05 14:10

>>>что-то я тогда видимо не понимаю условий задачи.
>>>еще раз более внятно не огласите?
>>
>>есть что-то подобное (трасируем путь к www.some.com):
>>
>>...
>>1.1.1.1 - firewall.some.com
>>1.1.1.2 - www.some.com
>>
>>этот сервис (1.1.1.2) спрятан в приват сети (192.168.1.2 для простоты). у firewall.some.com
>>есть два интерфейса: 1.1.1.1 - паблик и 192.168.1.1 - приват. Он
>>должен все запросы следующие к 1.1.1.2 транслировать соотвественно в 192.168.1.2.
>>
>>Сервисов таких много. То есть есть 1.1.1.3 -> 192.168.1.3 и т.д.
>>
>>Требуется реализовать эту систему на PF.
>
>просто bimap без rdr

bimap или binat всё-таки?

"PF и подмена адресов."
Отправлено Xela , 12-Окт-05 14:18

>bimap или binat всё-таки?
bimap в IPF
binat в PF