[Résolu] Comment rediriger un de mes ports internet vers ma machine local (PAT)
-
Depuis l'ip source pouvez vous vérifier la présence d'un filtrage sortant ? Si cela fonctionne depuis le téléphone ni Free ni Pfsense ne sont en cause.
-
oui mais pourtant quand je capture les paquets sur le port 22 et que je me connecte ensuite via le phone aucun paquet n'est capturé, et quand je me connecte depuis mon réseau freebox avec un pc client sur mon ip publique pour tester ça ne marche pas… c'est louche
EDIT: si je coupe ma règle de parefeu autorisant le SSH depuis le WAN mon téléphone n'y accède plus, normal, et en plus les logs de mon parefeu m'indique qu'il a bien été bloqué. Je me demande si il n'y a pas une sécurité interdisant soit une connexion où l'ip source et l'ip de destination sont la même où alors que l'ip source est une ip privée...
-
Activez les logs de la règles qui laisse passez, et si vous la voyez dans les logs de pfSense quand vous chercher à vous connecté, c'est que votre problème ce situe en aval, sinon c'est que le problème ce situe en amont.
-
Pouvez vous me dire où je dois renseigner qu'il faut m'afficher aussi les règles autorisées ? je ne trouve pas cette option
-
Je me demande si il n'y a pas une sécurité interdisant soit une connexion où l'ip source et l'ip de destination sont la même où alors que l'ip source est une ip privée…
Une connexion avec une ip source et une ip destination est impossible !
Les connexions sur wan avec une ip privée sont bloquées : Interfaces: WAN Block private networks (en bas de la page).Il va falloir décrire en détail votre configuration de test. Je crains une incompréhension de certains aspects réseau.
-
+1 à ce que dit ccnet.
Pouvez vous me dire où je dois renseigner qu'il faut m'afficher aussi les règles autorisées ? je ne trouve pas cette option
Dans la Rules, Log : cocher Log packets that are handled by this rule
-
bon j'ai continué à faire mes tests, j'ai télécharger un "widget" HTC :D permettant de vérifier l'état d'un serveur TeamSpeak (soit le port 8767), au début bloqué par le firewall et loggé par ce dernier, une fois les ports renseignés dans le PAT et autorisés par le firewall, tout roule et le statut du serveur est récupéré.
Le point de l'IP privé m'avait échappé je le savais en plus, mais cela voudrait t'il dire que si par exemple je me connecte dans mon réseau local sur mon serveur teamspeak avec une ip par exemple 192.168.0.10 en lui indiquant l'ip publique du serveur, soit 88.x.y.z, il devrait m'interdire ?
-
Je doute que vous puissiez faire cela. Votre ip source 192.168.0.10 est probablement translatée pour sortir sur internet. Les routeurs sur internet ne routent pas les réseaux privés. Vous traversez bien internet pour vos tests ?
-
oui je sais qu'une IP n'est pas routable donc soit il ne passe par le net et s'attaque directement à mon interface WAN puisque mon IP publique est celle de mon interface WAN, donc le paquet entre dans l'interface LAN de mon pfsense, puis est routé vers ma WAN qui a l'IP que je veux atteindre, de ce fait il se pourrait qu'il ne sorte pas sur le net…
-
J'ai demandé à un pote qui lui n'est soumis à aucune règle d'entreprise, juste derrière une simple box et il arrive très bien à se connecter à mon serveur SSH et à mon serveur 8767, et le parefeu affiche bien les logs d'autorisation. Donc ça ne vient pas de ça et ça ne concerne que mon réseau local qui n'arrive pas à aller sur mes serveurs en passant par mon ip publique. Ce n'est pas handicapant du tout mais je voudrais tout de même comprendre pourquoi…
-
=> NAT reflection.
-
en effet je viens de trouver la théorie et en quoi consisté le NAT reflection:
NAT Reflection - in some configurations, NAT reflection is possible so services can be accessed by public IP from internal networks.
par contre je ne vois pas où l'activer/configurer, quelques petits détails s'il vous plait ? :)
EDIT:
J'ai trouvé, c'est dans System > Advanced et ça qui est coché par défaut:
Network Address Translation
Disable NAT Reflection Disables the automatic creation of NAT redirect rules for access to your public IP addresses from within your internal networks. Note: Reflection only works on port forward type items and does not work for large ranges > 500 ports.J'essaye ça vers 18h00, je suis pas chez moi actuellement pour tester et je vous tiens au courant :)
-
Voilà ça marche seul problème cette règle ne concerne que les ports inférieurs ou égaux à 500… Comment puis je faire pour mon port 8767 ?
-
Moyennant l'usage du cache dns de pfsense et la technique du split horizon, ne pourriez vous pas concevoir les choses différemment ? C'est juste une éventualité à ce stade.
-
c'est à dire laisser tomber le fait que je n'y arrive pas ?
-
pensez vous que ce soit normal de passer par l'IP publique pour joindre un service privé. si vous répondez:
-oui: alors mettez en place les règles NAT nécessaire (reflection)
-non: jouez avec la resolution DNS (split horizon DNS, comme évoqué par CCNET).Bonne chance.
-
c'est à dire laisser tomber le fait que je n'y arrive pas ?
Non pas du tout. La réponse de Juve est tout à fait appropriée.
Si il y a une impossibilité technique (numéro de port) il faudra utiliser le split horizon. Personnellement je trouve que c'est beaucoup plus propre. Par exemple www.domaine.com se résout différemment selon que l'on est sur le réseau local ou à l'extérieur.
Et puis c'est quand même pratique non ? -
oui exactement, en faite je voulais savoir pourquoi ça ne marchait pas, je vois que ça bloque je ne veux pas rester sur un point sombre, maintenant que je sais pourquoi et comment je pourrais passer outre, no problem, et actuellement je n'ai nullement besoin de ce genre de solution.
Bien vu pour le DNS, je n'y avais pas pensé :)
Une dernière petite question, on peut créer des aliases de ports, cependant comment les utiliser ? parce que je ne vois pas dans port les alias que je viens de créer… :-X
-
Un exemple d'alias de ports que j'utilise souvent. La liste des flux sortants autorisés depuis le lan est par exemple : 80, 443, 110
Je nomme l'alias WebPorts (exemple arbitraire) et je créé une seule règle sur l'interface Lan pour autoriser les flux sortants sur ces trois protocoles. En indiquant que "Destination port range" est "WebPorts". Il suffit de commencer à taper les premières lettres dans la zone en rouge. -
ah oui tout simplement… :D
Merci beaucoup tout est réglé !