forum.opennet.ru - "Перенаправление внешних запросов на внутриний WEB" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Перенаправление внешних запросов на внутриний WEB"

Форум Настройка Squid и других прокси серверов (Squid)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Перенаправление внешних запросов на внутриний WEB"	+/–
Сообщение от Redaktor (ok) on 20-Сен-05, 13:42
Помогите плз. Есть машана на ней крутится squid который всех пускает или не пускает внет. Как сделать что бы набирая из вне ip этой машины в броузере я попадал на сайт который лежит у меня внутри сети. Исключительно средствами squid.
Ответить \| Правка \| Cообщить модератору

Оглавление

Перенаправление внешних запросов на внутриний WEB, TRZ_ua, 13:31 , 21-Сен-05, (1)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 13:55 , 21-Сен-05, (2)

Перенаправление внешних запросов на внутриний WEB, Sergey, 17:41 , 21-Сен-05, (3)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 17:56 , 21-Сен-05, (4)

Перенаправление внешних запросов на внутриний WEB, Sergey, 12:15 , 22-Сен-05, (5)

Перенаправление внешних запросов на внутриний WEB, Sergey, 16:22 , 22-Сен-05, (6)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 18:07 , 22-Сен-05, (7)

Перенаправление внешних запросов на внутриний WEB, Sergey, 13:33 , 23-Сен-05, (8)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 14:55 , 23-Сен-05, (9)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 15:01 , 23-Сен-05, (10)
Перенаправление внешних запросов на внутриний WEB, Sergey, 17:38 , 23-Сен-05, (11)

Перенаправление внешних запросов на внутриний WEB, Redaktor, 17:43 , 23-Сен-05, (12)

Перенаправление внешних запросов на внутриний WEB, Sergey, 17:53 , 23-Сен-05, (13) +1
Перенаправление внешних запросов на внутриний WEB, Redaktor, 18:07 , 23-Сен-05, (14)
Перенаправление внешних запросов на внутриний WEB, Adil_18, 09:07 , 26-Сен-05, (15) +1
Перенаправление внешних запросов на внутриний WEB, Confirm, 13:15 , 08-Апр-11, (16) +1
Перенаправление внешних запросов на внутриний WEB, Confirm, 15:34 , 11-Апр-11, (17)
Перенаправление внешних запросов на внутриний WEB, Confirm, 08:21 , 13-Апр-11, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от TRZ_ua on 21-Сен-05, 13:31

>Помогите плз.
>Есть машана на ней крутится squid который всех пускает или не пускает
>внет.
>Как сделать что бы набирая из вне ip этой машины в броузере
>я попадал на сайт который лежит у меня внутри сети. Исключительно
>средствами squid.
Тебе поможет VPN , а не сквид :) Сквид не умеет перенаправлять пакеты, да еще из одной сетки в другую , открывая тебе сайт из локалки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 21-Сен-05, 13:55

Может я чо не понял может меня кто не понял.
У меня есть домен www.vasyapupkin.com я его привязываю его к 194.30.*.*
это у мя внешний ip на этой манине web нету.
Внутрений ip 10,0,0,1 внетри сетки есть машина 10,0,0,100 на ней WEB как мне сделать так чтобы все видели мой сайт из мира ???
Большое спасибо !
PS - я 100% это читал но не помню где именно (используя именно squid)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Sergey (??) on 21-Сен-05, 17:41

>Может я чо не понял может меня кто не понял.
>У меня есть домен www.vasyapupkin.com я его привязываю его к 194.30.*.*
>это у мя внешний ip на этой манине web нету.
>Внутрений ip 10,0,0,1 внетри сетки есть машина 10,0,0,100 на ней WEB как
>мне сделать так чтобы все видели мой сайт из мира ???
>
>
>Большое спасибо !
>
>PS - я 100% это читал но не помню где именно (используя
>именно squid)
Необходимо сделать редирект входящих подключений по 80 порту во внутреннию сеть.
Как это сделать можно будет сказать, когда будет ясно какая ось стоит на 194.30.*.* и какой на ней firewall

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 21-Сен-05, 17:56

freebsd 4

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Sergey (??) on 22-Сен-05, 12:15

>freebsd 4
Попробуй так
ipfw add fwd <внешний ip>, 80 tcp from any to <внутренний ip>

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Sergey (??) on 22-Сен-05, 16:22

>>freebsd 4
>Попробуй так
>
>ipfw add fwd <внешний ip>, 80 tcp from any to <внутренний ip>
Прошу прощения внешний и внутренний ip надо поменять местами

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 22-Сен-05, 18:07

плиз поподробней
прывила лежат у мя /etc/pf.conf
внешний ip 213.227.206.46
внутрений 10.109.1.2
машина на которой в локалке веб 10.109.1.5

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Sergey (??) on 23-Сен-05, 13:33

>плиз поподробней
>прывила лежат у мя /etc/pf.conf
>внешний ip 213.227.206.46
>внутрений 10.109.1.2
>машина на которой в локалке веб 10.109.1.5
Если pf используешь тогда еще проще.
В /etc/pf.conf добавляешь
rdr pass on <внешний интрефейс> proto tcp from any to 213.227.206.46 port 80   -> 10.109.1.5
И делаешь pfctl -F all -f /etc/pf.conf

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 23-Сен-05, 14:55

pfctl -nf /etc/pf.conf
/etc/pf.conf:92: Rules must be in order: options, normalization, queueing, translation, filtering
pfctl -F all -nf /etc/pf.conf
/etc/pf.conf:92:: Too many arguments.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 23-Сен-05, 15:01

делаю так
rdr pass on $ext_if proto tcp from any to 213.227.206.46 port 80 -> 10.109.1.5

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Sergey (??) on 23-Сен-05, 17:38

>pfctl -nf /etc/pf.conf
>/etc/pf.conf:92: Rules must be in order: options, normalization, queueing, translation, filtering
Приведи полный pf.conf
опции rdr и nat должны идти после нормализации трафика (scrub)
>pfctl -F all -nf /etc/pf.conf
>/etc/pf.conf:92:: Too many arguments.

Ключ n не нужен просто -f /etc/pf.conf

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 23-Сен-05, 17:43

ext_if="fxp0"   # replace with actual external interface name i.e., dc0
internal_net="10.0.0.0/24"
external_addr="194.30.163.147"
rdr on fxp1 proto tcp from any to any port www -> 127.0.0.1 port 3128
rdr on fxp1 proto tcp from any to any port 21 -> 127.0.0.1 port 3128
nat on $ext_if from $internal_net to any -> ($ext_if)
rdr on vlan0 proto tcp from 10.0.0.0/24 to any port www -> 127.0.0.1 port 3128
rdr on vlan1 proto tcp from 172.16.1.1/24 to any port www -> 127.0.0.1 port 3128
rdr on vlan2 proto tcp from 192.168.1.1/24 to any port www -> 127.0.0.1 port 3128
pass in all
pass out all

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Перенаправление внешних запросов на внутриний WEB" +1 +/–

Сообщение от Sergey (??) on 23-Сен-05, 17:53

>ext_if="fxp0"   # replace with actual external interface name i.e., dc0
>
>internal_net="10.0.0.0/24"
>external_addr="194.30.163.147"
scrub in all
>rdr on fxp1 proto tcp from any to any port www -> 127.0.0.1 port 3128
>rdr on fxp1 proto tcp from any to any port 21 -> 127.0.0.1 port 3128
>nat on $ext_if from $internal_net to any -> ($ext_if)
>rdr on vlan0 proto tcp from 10.0.0.0/24 to any port www -> 127.0.0.1 port 3128
>rdr on vlan1 proto tcp from 172.16.1.1/24 to any port www -> 127.0.0.1 port 3128
>rdr on vlan2 proto tcp from 192.168.1.1/24 to any port www -> 127.0.0.1 port 3128
>pass in all
>pass out all
Попробуй так

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Redaktor (??) on 23-Сен-05, 18:07

Спасибо заработало !!!!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Перенаправление внешних запросов на внутриний WEB" +1 +/–

Сообщение от Adil_18 on 26-Сен-05, 09:07

>Спасибо заработало !!!!
A 4e ne xo4esh NATD?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Перенаправление внешних запросов на внутриний WEB" +1 +/–

Сообщение от Confirm (ok) on 08-Апр-11, 13:15

Ребят, подскажите, что нет так в моих правилах:
int_if="vr0"
ext_if="xl0"
ext_ip="10.0.39.36"
lannet = "192.168.130.0/24"
private_nets= "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4
bsd = "192.168.130.139/32"
nat on $ext_if from 192.168.130.0/24 to any -> ($ext_if)
block in on $ext_if all
# Порты
client_ports = "{ 21, 22, 25, 110, 123, 80, 443, 3128, 3129, 3389,8080, >=49151 }"
admin_ports = "{ 5190, 33330:33340 }"
pbx_udp = "{ 2727, 4520, 4569, 5036, 5060, 10000:20000 }"
pbx_tcp = "{ 5060 }"
#------------------------------
# Нормализация
#------------------------------
    102 set block-policy drop

    104 set state-policy floating

    106 set loginterface $ext_if

    109 set limit { frags 100000, states 100000 }

    111 set optimization normal
    113 set skip on lo0

    115 scrub in all
    116 #------------------------------
    117 # NAT & RDR
    118 #------------------------------
    120 nat on $ext_if inet from $lannet to any -> $ext_ip
    122 rdr on $int_if proto tcp from $lannet to any port www -> 127.0.0.1 port 3129
    124 rdr on $ext_if proto tcp from any to $ext_ip port www -> 127.0.0.1 port 80
    126 rdr on $ext_if proto tcp from any to $ext_ip port 33330 -> 127.0.0.1 port 22
    128 rdr on $ext_if proto tcp from any to $ext_ip port 21 -> 127.0.0.1 port 21
/etc/pf.conf:102: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:106: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:109: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:111: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:115: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:120: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:122: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:124: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:126: Rules must be in order: options, normalization, queueing, translation, filtering
/etc/pf.conf:128: Rules must be in order: options, normalization, queueing, translation, filtering
pfctl: Syntax error in config file: pf rules not loaded

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Confirm (ok) on 11-Апр-11, 15:34

Народ, кто-нибудь знает в чем тут дело? Похоже с последовательностью правил, но я проверил, все соответствует.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Перенаправление внешних запросов на внутриний WEB" +/–

Сообщение от Confirm (ok) on 13-Апр-11, 08:21

Разобрался. Теперь другой вопрос возник. Не получается при включенном pf выходить в инет с того сервера, еще на этом компе запущен апач, так вот опять же при включенном фаерволе не удается к нему подключиться (как будто не запущен). Дело в правилах, подскажите пожалуйста как мне их подправить. Необходимо чтобы апач был доступен на обоих интерфейсах - внешнем и внутреннем. Стоит добавить, что в данный момент пускает по фтп (21 порт) и ссш (22 порт), т.е. видимо эти правила корректно заданы.
Привожу свой pf.conf
#------------------------------
# Макросы
#------------------------------
int_if="vr0"
ext_if="xl0"
int_ip="192.168.130.139"
ext_ip="10.0.39.36"
lannet = "192.168.130.0/24"
private_nets= "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4
bsd = "192.168.130.139/24"
# Порты
client_ports = "{ 21, 22, 25, 110, 123, 80, 443, 3128, 3129, 3389,8080, >=49151 }"
admin_ports = "{ 5190, 33330:33340 }"
pbx_udp = "{ 2727, 4520, 4569, 5036, 5060, 10000:20000 }"
pbx_tcp = "{ 5060 }"
#------------------------------
# Нормализация
#------------------------------
# Определяем политику при блокировке пакетов
set block-policy return
# Поведение пакетного фильтра при использовании таблицы состояний
set state-policy floating
# Логируемый интерфейс
set loginterface $ext_if
# Максимальное количество записей в пуле отвечающем за нормализацию трафика (scrub)
# Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state)
set limit { frags 100000, states 100000 }
# Устанавливаем тип оптимизации
set optimization normal
# Игнорируем фильтрацию на кольцевом интерфейсе
set skip on lo0
# Нормализация всего входящего трафика на всех интерфейсах
scrub in all
#------------------------------
# NAT & RDR
#------------------------------
# NAT для локалки
nat on $ext_if inet from $lannet to any -> $ext_ip
# Отправляем локальных интернетчиков на squid.
rdr on $int_if proto tcp from $lannet to any port www -> 127.0.0.1 port 3129
# Пробрасываем порты на web сервер снаружи
rdr on $ext_if proto tcp from any to $ext_ip port www -> 127.0.0.1 port 80
# Пробрасываем порты на web сервер изнутри
rdr on $int_if proto tcp from $lannet to $int_ip port www -> 127.0.0.1 port 80
# Пробрасываем SSH
rdr on $ext_if proto tcp from any to $ext_ip port 33330 -> 127.0.0.1 port 22
# Пробрасываем FTP
rdr on $ext_if proto tcp from any to $ext_ip port 21 -> 127.0.0.1 port 21
#------------------------------
# Правила фильтрации
#------------------------------
# Защита от спуфинга
antispoof quick for { lo0, $int_if, $ext_if }
# Блокируем всё
block log all
# Блокируем тех, кто лезет на внешний интерфейс с частными адресами
block drop in quick on $ext_if from $private_nets to any
# Разрешаем icmp
pass inet proto icmp icmp-type echoreq
# Разрешаем DNS для локалки
pass in on $int_if proto udp from $lannet to $bsd port domain
# Тестовый полный выход для отладки
pass in on $int_if from $lannet to any
# Выпускаем клиентске сервисы
pass in on $int_if proto tcp from $lannet to any port $client_ports
# Разрешаем нашему шлюзу полный выход с обоих интерфейсов
pass out on $ext_if proto tcp from any to any
pass out on $ext_if proto udp from any to any keep state
pass out on $int_if proto tcp from any to any
pass out on $int_if proto udp from any to any keep state
#------------------------------
# Icoming #
#------------------------------
# Разрешаем входящий ssh
pass in log on $ext_if proto tcp from any to $ext_ip port 2200 flags S/SA synproxy state
# Разрешаем входящий www
pass in on $ext_if proto tcp from any to $ext_ip port 80 flags S/SA synproxy state
pass in on $int_if proto tcp from any to $int_ip port 80 flags S/SA synproxy state
# Разрешаем входящий https
pass in on $ext_if proto tcp from any to $ext_ip port https flags S/SA synproxy state
# Разрешаем входящий ftp
pass in on $ext_if proto tcp from any to $ext_ip port 21 flags S/SA synproxy state

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Перенаправление внешних запросов на внутриний WEB"	+/–
Сообщение от TRZ_ua on 21-Сен-05, 13:31
>Помогите плз. >Есть машана на ней крутится squid который всех пускает или не пускает >внет. >Как сделать что бы набирая из вне ip этой машины в броузере >я попадал на сайт который лежит у меня внутри сети. Исключительно >средствами squid. Тебе поможет VPN , а не сквид :) Сквид не умеет перенаправлять пакеты, да еще из одной сетки в другую , открывая тебе сайт из локалки.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 21-Сен-05, 13:55
	Может я чо не понял может меня кто не понял. У меня есть домен www.vasyapupkin.com я его привязываю его к 194.30.. это у мя внешний ip на этой манине web нету. Внутрений ip 10,0,0,1 внетри сетки есть машина 10,0,0,100 на ней WEB как мне сделать так чтобы все видели мой сайт из мира ??? Большое спасибо ! PS - я 100% это читал но не помню где именно (используя именно squid)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Sergey (??) on 21-Сен-05, 17:41
	>Может я чо не понял может меня кто не понял. >У меня есть домен www.vasyapupkin.com я его привязываю его к 194.30.. >это у мя внешний ip на этой манине web нету. >Внутрений ip 10,0,0,1 внетри сетки есть машина 10,0,0,100 на ней WEB как >мне сделать так чтобы все видели мой сайт из мира ??? > > >Большое спасибо ! > >PS - я 100% это читал но не помню где именно (используя >именно squid) Необходимо сделать редирект входящих подключений по 80 порту во внутреннию сеть. Как это сделать можно будет сказать, когда будет ясно какая ось стоит на 194.30.. и какой на ней firewall
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 21-Сен-05, 17:56
	freebsd 4
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Sergey (??) on 22-Сен-05, 12:15
	>freebsd 4 Попробуй так ipfw add fwd <внешний ip>, 80 tcp from any to <внутренний ip>
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Sergey (??) on 22-Сен-05, 16:22
	>>freebsd 4 >Попробуй так > >ipfw add fwd <внешний ip>, 80 tcp from any to <внутренний ip> Прошу прощения внешний и внутренний ip надо поменять местами
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 22-Сен-05, 18:07
	плиз поподробней прывила лежат у мя /etc/pf.conf внешний ip 213.227.206.46 внутрений 10.109.1.2 машина на которой в локалке веб 10.109.1.5
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Sergey (??) on 23-Сен-05, 13:33
	>плиз поподробней >прывила лежат у мя /etc/pf.conf >внешний ip 213.227.206.46 >внутрений 10.109.1.2 >машина на которой в локалке веб 10.109.1.5 Если pf используешь тогда еще проще. В /etc/pf.conf добавляешь rdr pass on <внешний интрефейс> proto tcp from any to 213.227.206.46 port 80 -> 10.109.1.5 И делаешь pfctl -F all -f /etc/pf.conf
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 23-Сен-05, 14:55
	pfctl -nf /etc/pf.conf /etc/pf.conf:92: Rules must be in order: options, normalization, queueing, translation, filtering pfctl -F all -nf /etc/pf.conf /etc/pf.conf:92:: Too many arguments.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 23-Сен-05, 15:01
	делаю так rdr pass on $ext_if proto tcp from any to 213.227.206.46 port 80 -> 10.109.1.5
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Sergey (??) on 23-Сен-05, 17:38
	>pfctl -nf /etc/pf.conf >/etc/pf.conf:92: Rules must be in order: options, normalization, queueing, translation, filtering Приведи полный pf.conf опции rdr и nat должны идти после нормализации трафика (scrub) >pfctl -F all -nf /etc/pf.conf >/etc/pf.conf:92:: Too many arguments. Ключ n не нужен просто -f /etc/pf.conf
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 23-Сен-05, 17:43
	ext_if="fxp0" # replace with actual external interface name i.e., dc0 internal_net="10.0.0.0/24" external_addr="194.30.163.147" rdr on fxp1 proto tcp from any to any port www -> 127.0.0.1 port 3128 rdr on fxp1 proto tcp from any to any port 21 -> 127.0.0.1 port 3128 nat on $ext_if from $internal_net to any -> ($ext_if) rdr on vlan0 proto tcp from 10.0.0.0/24 to any port www -> 127.0.0.1 port 3128 rdr on vlan1 proto tcp from 172.16.1.1/24 to any port www -> 127.0.0.1 port 3128 rdr on vlan2 proto tcp from 192.168.1.1/24 to any port www -> 127.0.0.1 port 3128 pass in all pass out all
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Перенаправление внешних запросов на внутриний WEB"	+1 +/–
	Сообщение от Sergey (??) on 23-Сен-05, 17:53
	>ext_if="fxp0" # replace with actual external interface name i.e., dc0 > >internal_net="10.0.0.0/24" >external_addr="194.30.163.147" scrub in all >rdr on fxp1 proto tcp from any to any port www -> 127.0.0.1 port 3128 >rdr on fxp1 proto tcp from any to any port 21 -> 127.0.0.1 port 3128 >nat on $ext_if from $internal_net to any -> ($ext_if) >rdr on vlan0 proto tcp from 10.0.0.0/24 to any port www -> 127.0.0.1 port 3128 >rdr on vlan1 proto tcp from 172.16.1.1/24 to any port www -> 127.0.0.1 port 3128 >rdr on vlan2 proto tcp from 192.168.1.1/24 to any port www -> 127.0.0.1 port 3128 >pass in all >pass out all Попробуй так
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Redaktor (??) on 23-Сен-05, 18:07
	Спасибо заработало !!!!
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Перенаправление внешних запросов на внутриний WEB"	+1 +/–
	Сообщение от Adil_18 on 26-Сен-05, 09:07
	>Спасибо заработало !!!! A 4e ne xo4esh NATD?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Перенаправление внешних запросов на внутриний WEB"	+1 +/–
	Сообщение от Confirm (ok) on 08-Апр-11, 13:15
	Ребят, подскажите, что нет так в моих правилах: int_if="vr0" ext_if="xl0" ext_ip="10.0.39.36" lannet = "192.168.130.0/24" private_nets= "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 bsd = "192.168.130.139/32" nat on $ext_if from 192.168.130.0/24 to any -> ($ext_if) block in on $ext_if all # Порты client_ports = "{ 21, 22, 25, 110, 123, 80, 443, 3128, 3129, 3389,8080, >=49151 }" admin_ports = "{ 5190, 33330:33340 }" pbx_udp = "{ 2727, 4520, 4569, 5036, 5060, 10000:20000 }" pbx_tcp = "{ 5060 }" #------------------------------ # Нормализация #------------------------------ 102 set block-policy drop 104 set state-policy floating 106 set loginterface $ext_if 109 set limit { frags 100000, states 100000 } 111 set optimization normal 113 set skip on lo0 115 scrub in all 116 #------------------------------ 117 # NAT & RDR 118 #------------------------------ 120 nat on $ext_if inet from $lannet to any -> $ext_ip 122 rdr on $int_if proto tcp from $lannet to any port www -> 127.0.0.1 port 3129 124 rdr on $ext_if proto tcp from any to $ext_ip port www -> 127.0.0.1 port 80 126 rdr on $ext_if proto tcp from any to $ext_ip port 33330 -> 127.0.0.1 port 22 128 rdr on $ext_if proto tcp from any to $ext_ip port 21 -> 127.0.0.1 port 21 /etc/pf.conf:102: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:106: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:109: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:111: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:115: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:120: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:122: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:124: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:126: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:128: Rules must be in order: options, normalization, queueing, translation, filtering pfctl: Syntax error in config file: pf rules not loaded
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Confirm (ok) on 11-Апр-11, 15:34
	Народ, кто-нибудь знает в чем тут дело? Похоже с последовательностью правил, но я проверил, все соответствует.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Перенаправление внешних запросов на внутриний WEB"	+/–
	Сообщение от Confirm (ok) on 13-Апр-11, 08:21
	Разобрался. Теперь другой вопрос возник. Не получается при включенном pf выходить в инет с того сервера, еще на этом компе запущен апач, так вот опять же при включенном фаерволе не удается к нему подключиться (как будто не запущен). Дело в правилах, подскажите пожалуйста как мне их подправить. Необходимо чтобы апач был доступен на обоих интерфейсах - внешнем и внутреннем. Стоит добавить, что в данный момент пускает по фтп (21 порт) и ссш (22 порт), т.е. видимо эти правила корректно заданы. Привожу свой pf.conf #------------------------------ # Макросы #------------------------------ int_if="vr0" ext_if="xl0" int_ip="192.168.130.139" ext_ip="10.0.39.36" lannet = "192.168.130.0/24" private_nets= "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 bsd = "192.168.130.139/24" # Порты client_ports = "{ 21, 22, 25, 110, 123, 80, 443, 3128, 3129, 3389,8080, >=49151 }" admin_ports = "{ 5190, 33330:33340 }" pbx_udp = "{ 2727, 4520, 4569, 5036, 5060, 10000:20000 }" pbx_tcp = "{ 5060 }" #------------------------------ # Нормализация #------------------------------ # Определяем политику при блокировке пакетов set block-policy return # Поведение пакетного фильтра при использовании таблицы состояний set state-policy floating # Логируемый интерфейс set loginterface $ext_if # Максимальное количество записей в пуле отвечающем за нормализацию трафика (scrub) # Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (keep state) set limit { frags 100000, states 100000 } # Устанавливаем тип оптимизации set optimization normal # Игнорируем фильтрацию на кольцевом интерфейсе set skip on lo0 # Нормализация всего входящего трафика на всех интерфейсах scrub in all #------------------------------ # NAT & RDR #------------------------------ # NAT для локалки nat on $ext_if inet from $lannet to any -> $ext_ip # Отправляем локальных интернетчиков на squid. rdr on $int_if proto tcp from $lannet to any port www -> 127.0.0.1 port 3129 # Пробрасываем порты на web сервер снаружи rdr on $ext_if proto tcp from any to $ext_ip port www -> 127.0.0.1 port 80 # Пробрасываем порты на web сервер изнутри rdr on $int_if proto tcp from $lannet to $int_ip port www -> 127.0.0.1 port 80 # Пробрасываем SSH rdr on $ext_if proto tcp from any to $ext_ip port 33330 -> 127.0.0.1 port 22 # Пробрасываем FTP rdr on $ext_if proto tcp from any to $ext_ip port 21 -> 127.0.0.1 port 21 #------------------------------ # Правила фильтрации #------------------------------ # Защита от спуфинга antispoof quick for { lo0, $int_if, $ext_if } # Блокируем всё block log all # Блокируем тех, кто лезет на внешний интерфейс с частными адресами block drop in quick on $ext_if from $private_nets to any # Разрешаем icmp pass inet proto icmp icmp-type echoreq # Разрешаем DNS для локалки pass in on $int_if proto udp from $lannet to $bsd port domain # Тестовый полный выход для отладки pass in on $int_if from $lannet to any # Выпускаем клиентске сервисы pass in on $int_if proto tcp from $lannet to any port $client_ports # Разрешаем нашему шлюзу полный выход с обоих интерфейсов pass out on $ext_if proto tcp from any to any pass out on $ext_if proto udp from any to any keep state pass out on $int_if proto tcp from any to any pass out on $int_if proto udp from any to any keep state #------------------------------ # Icoming # #------------------------------ # Разрешаем входящий ssh pass in log on $ext_if proto tcp from any to $ext_ip port 2200 flags S/SA synproxy state # Разрешаем входящий www pass in on $ext_if proto tcp from any to $ext_ip port 80 flags S/SA synproxy state pass in on $int_if proto tcp from any to $int_ip port 80 flags S/SA synproxy state # Разрешаем входящий https pass in on $ext_if proto tcp from any to $ext_ip port https flags S/SA synproxy state # Разрешаем входящий ftp pass in on $ext_if proto tcp from any to $ext_ip port 21 flags S/SA synproxy state
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору