[Решено частично] Помогите с пробросом пор

dvserg

@ToXaNSK:

А так нельзя!?
Подправить правило созданое НАТом автоматически, для 80 порта, где 1 ИП должен быть.
Firewall: Rules: WAN (Внешний фейс)
В Source: single host or alias -> ваш ИП которому можно.
И сохранить.
Если в будующем будет несколько ИП то можно завести Алиас, он же псевдоним, для нескольких ИП в Firewall: Aliases.

Там не нат а портфорвард.

dvserg

@Alexey12:

@dvserg:

Если вэб-сервер позволяет, сделайте 2 порта 80 и 8111, тогда вот теми правилами можно будет по источнику отфильтровать.

Да, про это я тоже подумал… наверное придется так и сделать. Жаль, что в НАТе нет возможности указать источник... хотелось обойтись только pfSense.
Спасибо.

NAT и portforward разные вещи. Для себя представьте, что нат выпускает наружу, а портфорвард пропускает снаружи внутрь.
При этом НАТ маскирует исходящие адреса в пакетах.
Портфорвард меняет адрес назначения с адреса роутера на адрес локального компа, при этом в PF на фильтр передается уже измененный пакет, и фильтр не знает исходный dst (адр/порт) пакета.

Alexey12

@dvserg:

@Alexey12:

@dvserg:

Если вэб-сервер позволяет, сделайте 2 порта 80 и 8111, тогда вот теми правилами можно будет по источнику отфильтровать.

Да, про это я тоже подумал… наверное придется так и сделать. Жаль, что в НАТе нет возможности указать источник... хотелось обойтись только pfSense.
Спасибо.

NAT и portforward разные вещи. Для себя представьте, что нат выпускает наружу, а портфорвард пропускает снаружи внутрь.
При этом НАТ маскирует исходящие адреса в пакетах, а портфорвард меняет адрес назначения с адреса роутера на адрес локального компа.

Да, согласен, немного неправильно употребил терминологию. Имелся ввиду именно портфорвард.
А то что нет источника в Firewall -> NAT -> Port Forward, это ограничение pfSense или PF?

dvserg

Да, согласен, немного неправильно употребил терминологию. Имелся ввиду именно портфорвард.
А то что нет источника в Firewall -> NAT -> Port Forward, это ограничение pfSense или PF?

PFSense.. Вот правило PF, здесь все есть
rdr on tl0 proto tcp from 27.146.49.14 to any port 80 -> 192.168.1.20 port 80

Я так понимаю это исторически с m0n0wall еще.

Alexey12

Спасибо за ответ, но я не знаю, как мне быть с этим правилом, опыта и знаний пока не хватает. :)
Не понятно только почему в pfSense это не реализовано, неужели кроме меня это никому не потребовалось?

dvserg

@Alexey12:

Спасибо за ответ, но я не знаю, как мне быть с этим правилом, опыта и знаний пока не хватает. :)
Не понятно только почему в pfSense это не реализовано, неужели кроме меня это никому не потребовалось?

Вам кабриолет или ехать?  ;D Сделайте на 2 портах, "чтобы работало"

Alexey12

Я так понимаю, что тему пора закрывать. Всем спасибо.

rubic

Ничего не понял.. а вот такое разве не решает проблему? :

Proto Source       Port  Destination          Port          Gateway

Pass  TCP   SOMEONE   *     WAN address        80 (HTTP)  *
Block TCP   SOMEONE   *     WAN address        11111        *
Pass  TCP   *              *     WAN address        11111        *
Block TCP   *              *     WAN address        80 (HTTP)  *

Pass TCP *              *    10.x.x.x              80 (HTTP)  *

Eugene

Нет, все правила применяются после port-forward.

rubic

Спасибо, буду знать.. а где-нибудь есть packet flow diagram для pf?

Eugene

Да, собственно, вроде всё просто - приём пакета на интерфейсе X, NAT (port forward, 1:1), rules на интерфейсе X, если пакет должен форвардиться на другой интерфейс Y, то ещё Outbound NAT