Fazer NAT 1:1
-
Pessoal,
dei uma pesquisada sobre o assunto aqui no fórum mas não consegui resolver o meu problema por isso to
abrindo um novo post.Quero fazer um nat para permitir que uma máquina da minha rede interna passe a ser acessada
através de um ip real (público).Qual deve ser a configuração do ip virtual no pfsense e como devo fazer esse nat? 1:1 mesmo?
Abraço
-
Qual deve ser a configuração do ip virtual no pfsense e como devo fazer esse nat? 1:1 mesmo?
firewall -> virtual ip -> ip alias para criar o alias do seu outro ip válido.
Depois associa ele ao ip interno em
firewall -> nat -> 1:1
Talvez você precise criar regras em firewall -> rules para restringir o acesso externo a esta máquina. -
Marcelloc,
na regra nat 1:1.
qual a diferença do internal ip para destination ip ?
-
destination = qualquer ip da internet
External IP= seu ip da wan
Internal IP= seu ip interno -
Apenas a título de contribuição…
Ao utilizarmos um determinado IP público em um NAT 1:1 ele não poderá ser mais utilizado para responder por outros serviços (IPSec, OpenVPN, etc…). Por isso procure não adicionar regras específicas neste recurso se você possui um único IP público cadastrado no seu pfSense!
Abraços!
Jack -
Muito obrigado pelas dicas.
Vou testar aqui e retorno.Abraço
-
Marcelloc,
desculpe-me se entendi errado mas aqui para mim na configuração de nat 1:1
não tem o campo source.os campos são:
- External subnet ip
- Internal ip
- Destination (que ele fala que normalmente o valor é any
-
thiagosf88,
já corrigi o post, peguei os camos do port forward
-
Mais uma vez muito obrigado Marcelloc
-
Pessoal,
fiz a configuração como abaixo mas não funcionou;IP Virtual
- Type: IP Alias
- interface : minha rede wan
- ip address: meuippublico/mascaraderede
- expansion: desmarcado
- virtual ip password: vazio (esse campo está desabilitado)
- vhid: 1 (esse campo está desabilitado)
- Advertising Frequency: (esse campo está desabilitado)
- Descrição:teste
NAT 1:1
- interface: a minha rede wan
- external subnet ip: meuippublico
- internal ip: ipdamaquinadaredeinterna
- destination: any
- NAT refletion: disable
-
thiagosf88,
use o tcpdump para ver onde esta o problema.
veja se o trafego chega na interface wan, se passa para a lan e se o servidor interno esta devolvendo a comunicação.
att,
Marcello Coutinho -
Marcello,
coloquei o tcpdump para escutar a interface wan e o ip virtual que eu criei.
Existe um tráfego, mas quando tento acessar por exemplo a porta 8080 não
funciona. E pelo que vi não há possibilidade de testar via ping. Outra coisa
que achei que aconteceria é que quando eu entrasse no site http://meuip.datahouse.com.br/
o ip mostrado fosse o virtual que criei. -
Além do nat eu preciso criar alguma regra específica no firewall para permitir esse acesso?
-
Além do nat eu preciso criar alguma regra específica no firewall para permitir esse acesso?
Se o nat não criar automaticamente a regra associada, você va precisa cria-las na mão para liberar o trafego.
-
Pessoal:
consegui aqui assim:IP Virtual
- Type: IP Alias
- interface : minha rede wan
- ip address: meuippublico/32
- virtual ip password: vazio (esse campo está desabilitado)
- vhid: 1 (esse campo está desabilitado)
- Advertising Frequency: (esse campo está desabilitado)
- Descrição:teste
NAT 1:1
- interface: a minha rede wan
- external subnet ip: meuippublico
- internal ip: ipdamaquinadaredeinterna
- destination: any
- NAT refletion: disable
E criei a regra seguinte no firewall
interface: WAN
Protocolo: any
Source:any
Porta: any
Destination: ipdamaquinadaredeinternaÉ essa a regra que deveria criar mesmo Marcello? Temi que ela desse muita abertura da máquina para a rede
-
É essa a regra que deveria criar mesmo Marcello? Temi que ela desse muita abertura da máquina para a rede
Você esta permitindo qualquer comunicação externa para este host interno. Pessoalmente prefiro liberar somente os protocolos e portas que você sabe que vai precisar.