форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Помогите с правилами PF для  редиректа mysql трафика"	+/–
Сообщение от VVereVVolf (ok) on 27-Окт-11, 13:19
Есть два сервера, один к одному подключены локально, один сервер (первый) имеет линк в инет. Первый сервер это apache,ftp и так далее, второй сервер это чисто mysql. Задача состоит в том чтоб при запросе с интернета ip адресса с портом 33306 первого сервера, весь трафик этого порта редиректило в нутрисеть на локальную машину, это я сделал rdr on $ext_if proto { tcp, udp } from any to $ext_if port 3306 -> 192.168.0.2 Но возникла проблема, допустим если я из инета подключаюсь к бд через ip:3306, где ip это внешний ip первого сервера, то все работает, а если подключится непосредственно с первого сервера по этому же ip я не могу подключится к mysql, тоесть PF не редиректить, помогите сообразить...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
Сообщение от anonim on 27-Окт-11, 13:46
>[оверквотинг удален] > Задача состоит в том чтоб при запросе с интернета ip адресса > с портом 33306 первого сервера, весь трафик этого порта редиректило в > нутрисеть на локальную машину, это я сделал > rdr on $ext_if proto { tcp, udp } from any to $ext_if > port 3306 -> 192.168.0.2 > Но возникла проблема, допустим если я из инета подключаюсь к бд через > ip:3306, где ip это внешний ip первого сервера, то все работает, > а если подключится непосредственно с первого сервера по этому же ip > я не могу подключится к mysql, тоесть PF не редиректить, помогите > сообразить... Ну у вас же в правиле написано что редирект с $ext_if, а если вы пытаетесь с первого сервера подключиться, то это уже никак не $ext_if. Это уже интернал... Что вам мешает подключтиться прямо на адрес 192.168.0.2 с первой машины?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от VVereVVolf (ok) on 27-Окт-11, 13:55
	>[оверквотинг удален] >> port 3306 -> 192.168.0.2 >> Но возникла проблема, допустим если я из инета подключаюсь к бд через >> ip:3306, где ip это внешний ip первого сервера, то все работает, >> а если подключится непосредственно с первого сервера по этому же ip >> я не могу подключится к mysql, тоесть PF не редиректить, помогите >> сообразить... > Ну у вас же в правиле написано что редирект с $ext_if, а > если вы пытаетесь с первого сервера подключиться, то это уже никак > не $ext_if. Это уже интернал... Что вам мешает подключтиться прямо на > адрес 192.168.0.2 с первой машины? Мешает то что я создал домен db1.sitename.com и указал ему внешний ip сервер чтоб можно было подключатся к БД серверу извне, а если ставить какой то сайт то хотелось бы чтоб указывать в поле хост не локальный адрес а сей домен
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от гость on 28-Окт-11, 02:43
	Ваша ситуация с возможными решениями в деталях описана в документации к PF: http://openbsd.org/faq/pf/rdr.html#reflect Как правило, правильный ответ - это Split-Horizon DNS, т.е. внутренняя зона, в которой для записи db1.sitename.com указано соответствие в виде внутренего IP-адреса вашего mysql сервера.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
Сообщение от reader (ok) on 27-Окт-11, 14:51
>[оверквотинг удален] > Задача состоит в том чтоб при запросе с интернета ip адресса > с портом 33306 первого сервера, весь трафик этого порта редиректило в > нутрисеть на локальную машину, это я сделал > rdr on $ext_if proto { tcp, udp } from any to $ext_if > port 3306 -> 192.168.0.2 > Но возникла проблема, допустим если я из инета подключаюсь к бд через > ip:3306, где ip это внешний ip первого сервера, то все работает, > а если подключится непосредственно с первого сервера по этому же ip > я не могу подключится к mysql, тоесть PF не редиректить, помогите > сообразить... а может все таки редирект отработал, а вот ответы пошли напрямую. tcpdump на 192.168.0.2 вам в помощь
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от VVereVVolf (ok) on 27-Окт-11, 15:36
	>[оверквотинг удален] >> нутрисеть на локальную машину, это я сделал >> rdr on $ext_if proto { tcp, udp } from any to $ext_if >> port 3306 -> 192.168.0.2 >> Но возникла проблема, допустим если я из инета подключаюсь к бд через >> ip:3306, где ip это внешний ip первого сервера, то все работает, >> а если подключится непосредственно с первого сервера по этому же ip >> я не могу подключится к mysql, тоесть PF не редиректить, помогите >> сообразить... > а может все таки редирект отработал, а вот ответы пошли напрямую. > tcpdump на 192.168.0.2 вам в помощь похоже на то... 14:33:56.894707 IP 192.168.0.1.35735 > 192.168.0.2.3306: Flags [.], ack 380983, win 8145, options [nop,nop,TS val 2251389803 ecr 2227257943], length 0 14:33:56.894715 IP 192.168.0.1.35735 > 192.168.0.2.3306: Flags [.], ack 382746, win 7924, options [nop,nop,TS val 2251389803 ecr 2227257943], length 0 14:33:56.894723 IP 192.168.0.1.35735 > 192.168.0.2.3306: Flags [.], ack 382746, win 8326, options [nop,nop,TS val 2251389803 ecr 2227257943], length 0 14:33:56.900266 IP 192.168.0.1.35735 > 192.168.0.2.3306: Flags [P.], ack 382746, win 8326, options [nop,nop,TS val 2251389809 ecr 2227257943], length 181 14:33:56.900319 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 14:33:56.900325 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 14:33:56.900331 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 14:33:56.900337 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [P.], ack 8389, win 8326, options [nop,nop,TS val 2227257948 ecr 2251389809], length 860
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от reader (ok) on 27-Окт-11, 15:46
	>[оверквотинг удален] > 14:33:56.900266 IP 192.168.0.1.35735 > 192.168.0.2.3306: Flags [P.], ack 382746, win 8326, > options [nop,nop,TS val 2251389809 ecr 2227257943], length 181 > 14:33:56.900319 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, > options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 > 14:33:56.900325 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, > options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 > 14:33:56.900331 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, > options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 > 14:33:56.900337 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [P.], ack 8389, win 8326, > options [nop,nop,TS val 2227257948 ecr 2251389809], length 860 значит nat для этих пакетов на внутреннем интерфейсе
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от VVereVVolf (ok) on 27-Окт-11, 15:58
	>[оверквотинг удален] >> options [nop,nop,TS val 2251389809 ecr 2227257943], length 181 >> 14:33:56.900319 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, >> options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 >> 14:33:56.900325 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, >> options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 >> 14:33:56.900331 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [.], ack 8389, win 8326, >> options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 >> 14:33:56.900337 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [P.], ack 8389, win 8326, >> options [nop,nop,TS val 2227257948 ecr 2251389809], length 860 > значит nat для этих пакетов на внутреннем интерфейсе Не совсем понимаю еще принцип но вроде так должно выглядеть.. nat on $int_if from $lan to any -> $int_if но как то без успеха... хотя по идеи должно быть так nat on $ext_if from $lan to any -> $ext_if P.S $lan это локальная подсеть 192.168.0.0/24
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Помогите с правилами PF для  редиректа mysql трафика"	+/–
	Сообщение от anonim on 27-Окт-11, 22:15
	>[оверквотинг удален] >>> options [nop,nop,TS val 2227257948 ecr 2251389809], length 1448 >>> 14:33:56.900337 IP 192.168.0.2.3306 > 192.168.0.1.35735: Flags [P.], ack 8389, win 8326, >>> options [nop,nop,TS val 2227257948 ecr 2251389809], length 860 >> значит nat для этих пакетов на внутреннем интерфейсе > Не совсем понимаю еще принцип но вроде так должно выглядеть.. > nat on $int_if from $lan to any -> $int_if > но как то без успеха... > хотя по идеи должно быть так > nat on $ext_if from $lan to any -> $ext_if > P.S $lan это локальная подсеть 192.168.0.0/24 Вот пример правила. У меня $exch внутри сети. ### for POP3 rdr pass on $ext_if inet proto tcp from any to $ext_if port 110 -> $exch port 110 nat on $int_if inet proto tcp from any to $exch port 110 -> $int_if ну и pass out quick on $ext_if ...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема