PF, NAT und Reverse Proxy

Sickboy

Müßiggänger
Moin,
auf einem Server laufen Dienste in verschiedenen Jails, darunter auch zwei Web-Server, die über einen Reverse Proxy angeschlossen sind. Nun würde ich den Server mit PF gerne etwas absichern. Leider kommt der Reverse Proxy bei meiner Konfiguration nicht mehr zu den Jails durch:

Code:
#
# Macros
#

### Interfaces
ext_if = "em0"
int_if = "lo1"
jailnet = $int_if:network

### Jails
www="10.1.1.1"
trac="10.1.1.2"
jabber="10.1.1.3"

tcp_pass = "{ 2220, 2221, ssh, www }"
tcp_pass_trac = "{ www }"
tcp_pass_www = "{ 2221, www }"

#
# Tables
#

#
# Options
#
set skip on lo0

#
# Normalization
#
scrub in on $ext_if all fragment reassemble

#
# Translation
#

### NAT
nat on $ext_if from $jailnet to any -> ($ext_if)

### SSH-Zugang für die WWW-Jail
rdr pass on $ext_if inet proto tcp to port 2221 -> $www port 2221

### Port-Weiterleitung für die Jabber-Jail
rdr pass on $ext_if inet proto tcp to port 5222 -> $jabber port 5222
rdr pass on $ext_if inet proto tcp to port 5223 -> $jabber port 5223
rdr pass on $ext_if inet proto tcp to port 5269 -> $jabber port 5269
rdr pass on $ext_if inet proto tcp to port 5280 -> $jabber port 5280

#
# Filtering
#
block all

pass in on $ext_if proto tcp from any to any port $tcp_pass flags S/SA keep state
pass out quick all keep state

Der Reverse Proxy antwortet nur mit "504 Gateway Time-out". Eigentlich soll er http://www.example.com und http://example.com an 10.1.1.1 sowie http://trac.example.com an 10.1.1.2 weiterleiten.

Wie sieht denn die korrekte Filter-Einstellung aus?
 
Last edited:
Back
Top