Назад | Перейти на главную страницу

PFSense: для определенного IP-адреса перенаправить трафик на внутренний хост

У меня есть коробка PFSense с несколькими хостами в локальной сети. На стороне WAN находится ряд коммутаторов и маршрутизаторов. Внешние хосты используют определенный IP-адрес (назовем его 1.2.3.4), который пересылается через несколько уровней в блок PFSense, который затем порт перенаправляет его на хост ВНУТРИ сети PFSense LAN (назовем его 192.168.1.2).

В удаленной сети каждый может использовать 1.2.3.4 для подключения к этому хосту, и все работает нормально. Однако на внутренней стороне они должны помнить, что использовать другой адрес (192.168.1.2).

Мы хотим, чтобы адрес 1.2.3.4 работал как вне, так и внутри сети PFSense. Однако мы не хотим изменять внутреннюю подсеть 192.168.1.0/24. Однако это не так просто, как отражение NAT, потому что WAN-адрес блока PFSense НЕ 1.2.3.4, а скорее произвольный IP-адрес, назначенный следующим уровнем. Сеть 1.2.3.0/24 находится на расстоянии нескольких маршрутизаторов. Я безуспешно пробовал несколько конфигураций переадресации портов, NAT, правил брандмауэра и т. Д.

Что я хотеть нужно перехватить весь трафик, привязанный к 1.2.3.4, на маршрутизаторе PFSense и вместо этого отправить его на 192.168.1.2. Бонусные баллы, если трафик на самом деле не нужен через PFSense, но вместо этого маршрутизируется коммутатором, чтобы избежать узких мест в полосе пропускания (возможно, это может сделать какая-то комбинация DHCP / ARP).

Возможно ли это и как лучше всего этого добиться?

Диаграмма

┌──────────────────────┐           ╔══════════════════╗        
│ Server (192.168.1.2) │           ║     Client 2     ║        
└──────────────────────┘           ║    (Internal)    ║        
            │                      ║ Uses 192.168.1.2 ║        
            │                      ║SHOULD use 1.2.3.4║        
            │                      ╚══════════════════╝        
            │                                │                 
            ├────────────────────────────────┘                 
            │                                                  
┌──────────────────────┐                                       
│    PFSense Router    │                                       
│                      │                                       
│ LAN: 192.168.1.1/24  │                                       
│   WAN: 192.168.2.2   │                                       
│ Virtual: 192.168.2.4 │                                       
└──────────────────────┘                                       
            │                                                  
            │                                                  
            │                                                  
 ┌────────────────────┐                                        
 │    Router (NAT)    │           This router transparently    
 │                    │         converts incoming WAN traffic  
 │LAN: 192.168.2.1/24 │◀──────    bound for 1.2.3.X to the     
 │  WAN: 1.2.3.1/24   │        equivalent 192.168.2.X address. 
 └────────────────────┘                                        
            │                                                  
            │                                                  
            │                                                  
    ╔══════════════╗                                           
    ║   Client 1   ║                                           
    ║  (External)  ║                                           
    ║ Uses 1.2.3.4 ║                                           
    ╚══════════════╝

Чтобы уточнить, для внешних клиентов последовательность следующая:

  1. Доступ 1.2.3.4
  2. Маршрутизатор NAT преобразуется в 192.168.2.4
  3. Маршрутизатор PFSense получает трафик по адресу 192.168.2.4 и внутренне сопоставляется с 192.168.1.2.

Единственный способ, которым я знаю, как это сделать, - использовать NAT. Вам нужно будет указать порты, которые вы будете использовать. Я только что протестировал это на PFsense 2.3.2.

  1. Создать правило NAT
  2. Укажите пункт назначения как одиночный хост или псевдоним: 1.2.3.4
  3. Порт должен быть тем портом, который вы собираетесь использовать (От и до) (Проверено с 80)
  4. Целевой IP-адрес перенаправления должен быть 192.168.1.2.
  5. Целевой порт перенаправления не может быть "любым", поэтому вам нужно указать порт сверху
  6. Отражение NAT должно быть "Enable (Pure NAT)" <-Важно !!!!

Если у вас есть приложение, которому требуется несколько портов, вам нужно будет указать каждый порт.

Надеюсь это поможет!

Вы можете установить пакет обратного прокси. Попробуйте использовать обратный прокси, чтобы направить две сети.

Для одной из своих идей я сделал подобную сеть.

У меня мало IP-адресов WAN в пространстве / 24 и внутренней сети. WAN IP: 1.2.3.2 и 1.2.3.3 IP интерфейса WAN 1.2.3.2/24 DefGW: 1.2.3.1 На маршрутизаторе pfSense при маршрутизации я добавляю шлюз 192.168.1.2 в интерфейс LAN. Затем добавлен статический маршрут 1.2.3.3 -> 192.168.1.2. На интерфейсе WAN разрешить трафик на IP-адрес 1.2.3.3. Добавьте виртуальный IP типа ProxyARP и 1.2.3.3/32. В моем случае ProxyARP, потому что IP-адреса назначаются статически, а хостинг-провайдер не имеет права маршрутизировать трафик на конкретный MAC- или DHCP-сервер. На интерфейсе LAN добавьте правило, разрешающее IP-адрес источника 1.2.3.3 для WAN. На интерфейсе LAN я запускаю DHCP, и IP-адреса LAN добавляются в статическую аренду. Я планирую использовать DHCP со статическими маршрутами для нескольких шлюзов (другие серверы в той же локальной сети). Параметр DHCP 33 (один адрес) и параметр DHCP 121 / (249 в старых версиях Windows) (сеть). Если честно, я не тестировал его с DHCP, и я не уверен, что он работает правильно. Но это идея в тестовом списке.

На стороне клиента необходимо добавить псевдоним IP с IP-адресом 1.2.3.3/32. И если вы хотите, чтобы этот IP-адрес был публичным, он должен быть установлен как исходящий IP-адрес по умолчанию.

При желании в pfSense можно указать, что трафик из LAN разрешен только во внутренней сети.

Я установил эту сеть, потому что мне нужны серверы во внутренней сети, а затем маршрутизация трафика к ним через частную сеть на серверы (возможно, более простая настройка маршрутизации и потому, что это можно сделать). И если серверу не требуется прямой публичный IPv4-адрес, мы можем сохранить некоторые из них.

Это идея Google? Я не знаю :-) 

┌──────────────────────┐                                       
│    PFSense Router    │                                       
│                      │                                       
│ WAN: 1.2.3.2/24      │                                       
│ DefGW: 1.2.3.1       │
│ Virtual: 1.2.3.3     │                                       
│ LAN: 192.168.1.1/24  │                                       
└──────────────────────┘  
           | LAN
┌──────────────────────┐                                       
│       Server 1       │                                       
│                      │                                       
│ LAN: 192.168.1.2/24  │                                       
│ DefGw: 192.168.1.1   │
│ Alias: 1.2.3.3/32    │                                     
└──────────────────────┘