alibek Опубликовано 6 ноября, 2013 · Жалоба Есть сервер с двумя интерфейсами, $if_int и $if_wifi. На $if_int есть интернет, на $if_wifi подключены клиенты, <hotspot> — IP-адреса клиентов. Нужно http-подключения клиентов пускать через прокси-сервер (на том же сервере, на порту 3128), а https-подключения натить. Сделал так: ... svc_nat_tcp = "{ 443 }" svc_proxy_tcp = "{ 80 }" svc_proxy_udp = "{ 53 }" ... nat on $if_wifi proto tcp from <hotspot> to !$if_wifi port $svc_nat_tcp -> $if_int:0 rdr on $if_wifi proto tcp from <hotspot> to !$if_wifi port $port_www -> $if_wifi port 3128 pass out on $if_wifi from $if_wifi to 10.10.0.0/24 pass in on $if_wifi proto udp from 10.10.0.0/24 to $if_wifi port 1812 pass in on $if_wifi proto tcp from <hotspot> to $if_wifi port $svc_proxy_tcp pass in on $if_wifi proto udp from <hotspot> to $if_wifi port $svc_proxy_udp но что-то не работает. Где ошибся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 ноября, 2013 · Жалоба На порт 3128 тоже нужно разрешать входящие подключения. "$if_int:0" - тоже как то странно выглядит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 6 ноября, 2013 · Жалоба На 3128 зачем? Всегда без этого работало. И вообще прозрачный прокси работает нормально. Почему-то не работает NAT. $if_int:0 это из документации, раскрывается в первый ip интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 7 ноября, 2013 · Жалоба Почему-то не работает NAT либо добавьте модификатор 'pass' в правило nat, либо добавьте фильтрующее правило, разрешающие проход из <hotspot> по tcp/443 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 ноября, 2013 · Жалоба Надо же, невнимательно читал доку, про модификатор pass не знал. Попробую. Но разрешающее правило на tcp/443 было (в листинг забыл его добавить), с ним NAT тоже не работал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 7 ноября, 2013 · Жалоба Но разрешающее правило на tcp/443 было (в листинг забыл его добавить), с ним NAT тоже не работал. покажите правило. еще хорошо помогает tcpdump -npi pflog0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...