pf: redirect from local to local mit NAT auf local Interface

P

plepps

Active Member
Hallo,

ich weis nicht, ob das was ich vor habe machbar ist, aber folgendses versuche ich zu realisieren:

local lan: 1.1.1.0/24

Local FW IP: 1.1.1.1 Interface: vr1

Traffic von 1.1.1.10 zu 1.1.1.1 port 80 soll umgeleitet werden zu 1.1.1.254 8080 und auf die local FW IP 1.1.1.1 geNATet werden.

mein Ansatz:
Code: 
nat on vr1 proto tcp from 1.1.1.10 to 1.1.1.254 port 8080 -> (vr1)
rdr proto tcp from 1.1.1.10 to 1.1.1.1 port 80 -> 1.1.1.254 port 8080
pass quick on vr1 from (vr1) to any

komme da grad irgendwie nicht weiter,

thx für jeden Tip
 
Ganz durchsteigen tu ich nicht. Kannst du konkreter werden, was das bewirken soll? Lese ich falsch, wenn ich denke du willst einen transparenten Proxy?
 
ja, sowas in der Art soll es werden.

Interner Host1 1.1.1.10 spricht Paketfilter auf 1.1.1.1 Port 80 an und wird dort aber wieder auf internen Host2 1.1.1.254 auf port 8080 redirectet. Dabei soll die IP von Host1 auf die lokale IP 1.1.1.1 vom Paketfilter geNATet werden, so das Host2 das als Anfrage von 1.1.1.1 sieht.
 
Ok, hast du denn die pf.conf da? Weil so wirst du es ja sicher nicht drin stehen haben, richtig? Hast du mal tcpdump angeworfen und geprüft ob die Pakete weitergehen?

Kann man überhaupt Rechner, die im gleichen Netz sind "natten"? Wie kommt der Host 1.1.1.10 dazu den Paketfilter 1.1.1.1 zu fragen? Läuft der als "Standardgateway"?

Muss die rdr-Zeile nicht so aussehen?
pass in on vr1 proto tcp from 1.1.1.10 to any port 80 rdr-to 1.1.1.254 port 8080
 
Zuletzt bearbeitet:
doch, steht so drinn. ist ein embeded openbsd 4.3 auf ner blackbox.

ob das im selben segment überhaupt geht, ist halt die frage
 
Führe auf dem System mit der IP 1.1.1.10 nach einem Browseraufruf auf 1.1.1.1 mal "arp -a" aus. Wenn er die MAC-Adresse von 1.1.1.1 hat, dann wird er auch direkt mit 1.1.1.1 in Verbindung treten.

Solltest du ein Switch in deinem Netzwerk im Einsatz haben, wird die Firewall nichtmal irgendwas von der Kommunikation mitbekommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben