[Решено частично] Помогите с пробросом пор
-
А так нельзя!?
Подправить правило созданое НАТом автоматически, для 80 порта, где 1 ИП должен быть.
Firewall: Rules: WAN (Внешний фейс)
В Source: single host or alias -> ваш ИП которому можно.
И сохранить.
Если в будующем будет несколько ИП то можно завести Алиас, он же псевдоним, для нескольких ИП в Firewall: Aliases.Там не нат а портфорвард.
-
Если вэб-сервер позволяет, сделайте 2 порта 80 и 8111, тогда вот теми правилами можно будет по источнику отфильтровать.
Да, про это я тоже подумал… наверное придется так и сделать. Жаль, что в НАТе нет возможности указать источник... хотелось обойтись только pfSense.
Спасибо.NAT и portforward разные вещи. Для себя представьте, что нат выпускает наружу, а портфорвард пропускает снаружи внутрь.
При этом НАТ маскирует исходящие адреса в пакетах.
Портфорвард меняет адрес назначения с адреса роутера на адрес локального компа, при этом в PF на фильтр передается уже измененный пакет, и фильтр не знает исходный dst (адр/порт) пакета. -
Если вэб-сервер позволяет, сделайте 2 порта 80 и 8111, тогда вот теми правилами можно будет по источнику отфильтровать.
Да, про это я тоже подумал… наверное придется так и сделать. Жаль, что в НАТе нет возможности указать источник... хотелось обойтись только pfSense.
Спасибо.NAT и portforward разные вещи. Для себя представьте, что нат выпускает наружу, а портфорвард пропускает снаружи внутрь.
При этом НАТ маскирует исходящие адреса в пакетах, а портфорвард меняет адрес назначения с адреса роутера на адрес локального компа.Да, согласен, немного неправильно употребил терминологию. Имелся ввиду именно портфорвард.
А то что нет источника в Firewall -> NAT -> Port Forward, это ограничение pfSense или PF? -
Да, согласен, немного неправильно употребил терминологию. Имелся ввиду именно портфорвард.
А то что нет источника в Firewall -> NAT -> Port Forward, это ограничение pfSense или PF?PFSense.. Вот правило PF, здесь все есть
rdr on tl0 proto tcp from 27.146.49.14 to any port 80 -> 192.168.1.20 port 80Я так понимаю это исторически с m0n0wall еще.
-
Спасибо за ответ, но я не знаю, как мне быть с этим правилом, опыта и знаний пока не хватает. :)
Не понятно только почему в pfSense это не реализовано, неужели кроме меня это никому не потребовалось? -
Спасибо за ответ, но я не знаю, как мне быть с этим правилом, опыта и знаний пока не хватает. :)
Не понятно только почему в pfSense это не реализовано, неужели кроме меня это никому не потребовалось?Вам кабриолет или ехать? ;D Сделайте на 2 портах, "чтобы работало"
-
Я так понимаю, что тему пора закрывать. Всем спасибо.
-
Ничего не понял.. а вот такое разве не решает проблему? :
Proto Source Port Destination Port Gateway
Pass TCP SOMEONE * WAN address 80 (HTTP) *
Block TCP SOMEONE * WAN address 11111 *
Pass TCP * * WAN address 11111 *
Block TCP * * WAN address 80 (HTTP) *Pass TCP * * 10.x.x.x 80 (HTTP) *
-
Нет, все правила применяются после port-forward.
-
Спасибо, буду знать.. а где-нибудь есть packet flow diagram для pf?
-
Да, собственно, вроде всё просто - приём пакета на интерфейсе X, NAT (port forward, 1:1), rules на интерфейсе X, если пакет должен форвардиться на другой интерфейс Y, то ещё Outbound NAT