Liberação de portas Floating + NAT com VIP
-
Perguntei qual o ip do servidor que tem o serviço que você quer publicar na internet.
-
Sim
172.16.2.156 porta 443 PRTG
-
-
[2.0.3-RELEASE][root@empresa]/root(9): tcpdump -ni bge0 host 172.16.2.156 and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes0 packets captured
2657 packets received by filter
0 packets dropped by kernelMesmo o telnet na porta 443 não abre.
-
Normal esse log?
-
Normal esse log?
Arranca suas regras da aba floating, confere seu nat e marca a opção para criar uma regra de firewall automaticamente.
Se você não estiver com a algum outro serviço na 443, tem que funcionar.
-
Marcelo,
Não funcionou, não sei mais o que eu faço. Tudo que configuro nesse firewall nada dá certo. A NAT não tem segredo e ela não funciona.
Obrigado pelo suporte.
-
Não funcionou, não sei mais o que eu faço. Tudo que configuro nesse firewall nada dá certo. A NAT não tem segredo e ela não funciona.
Nos primeiros posts, alertamos para o nat criado de forma errada. Você já conferiu isso?
Tenho certeza que está faltando algum detalhe na sua configuração.
-
Sim, refiz várias vezes a NAT. Só funciona quando os computadores da LAN está com o GW do pfsense.
Vou configurar um pc com o gw do pfSense e fazer todos os testes depois que eu terminar viro de uma vez o firewall e vamos ver o que dá srsr.
Fiz um teste colocando o Gateway do pfSense numa máquina e criei uma NAT de TS e funcionou, com outro gateway não funciona. Tenho um CentOS e algumas regras de NAT configuradas e funcionam normalmente, mesmo estando com outro gateway.
-
Sim, refiz várias vezes a NAT. Só funciona quando os computadores da LAN está com o GW do pfsense.
Já te falei isso a alguns posts atrás. sem o default gateway o outbound nat é obrigatório para não dar problema de roteamento.
-
Sim, eu vi sobre O nat reverso. Só fiquei com dúvida na criação da NAT, pois no Linux era diferente, sabe como é srsrs…
Eu uso essa regra para acesso interno no linux e vejo que faz o reverso.
iptables -A FORWARD -s 0/0 -d "LAN" -p tcp --dport 443 -j ACCEPT # PRTG HTTPS
iptables -A FORWARD -d 0/0 -s "LAN" -p tcp --sport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -d "WAN_VIP" -p tcp --dport 443 -j DNAT --to-destination "LAN":443
iptables -t mangle -A PREROUTING -p tcp -s "LAN" --sport 443 -j MARK --set-mark 1
iptables -t nat -A POSTROUTING -p tcp -s "LAN" --sport 443 -j SNAT --to "WAN_VIP"Enfim, no pfsense vou testar assim:
Firewall NAT Outbound
Mode: AutomaticInterface: WAN
Source: any
Port Source: any
Destination: IP_SERVER_LAN/32
Destination Port: 443
NAT Address: VIP (correspondente ao IP da NAT)
NAT Port: 443Isto?
Vou testar desse jeito na segunda e ver se funciona. Domingão tem que descansar srsrsr.....
Obrigado pela ajuda.
-
Não esqueça de mudar o outbound nat de automático para manual.
-
Marcelo,
Não funcionou…
Obrigado pela atenção.
-
Tcpdump-> leitura -> testes -> conferir nat -> tcpdump -> ….
-
Refiz todos os procedimento e coloquei apenas uma regra no firewall e a NAT só funciona quando coloco o gateway do pfsense. Conforme sua orientação configurei a NAT Outbound, mas também não funcionou. Poderia em ajudar?
Interface: WAN
Protocol: any
Source: (Seria meu servidor interno LAN)
Port: (porta de destino 443)
Destination: (IP da WAN conforme NAT)
Translation: Interface address ?
Port: ?No Outbound, os Mappings ficarão desse jeito e devo apenas inserir a Regra la é embaixo?
Anexo: out.jpgConfigurei de vários modos e não foi, talvez eu esteja pecando em alguma configuração da Outbound.
-
neo_X, você em um único post conseguiu misturar todos os conceitos. :(
Tem certeza que você já leu algum tutorial aqui do fórum? ???
Vou traduzir a regra do nat de saída para o portugues para ver se você consegue entender o conceito aplicado..
Toda vez que alguem saindo pela lan for falar com meu servidor interno X na porta Y vai utilizar como ip de origem o endereço de rede da minha interface.
Esta regra vai mascarar o ip internet do cliente, ajudando seu servidor X a devolver o pacote para o mesmo firewall que o enviou.
Quando você não tem essa regra criada, o ip do cliente será direcionado para o default gateway, uma vez que o servidor X não tem rota específica para ips válidos na internet.mesma coisa para o nat de entrada.
Toda vez que alguem conectar no ip da minha wan na porta Y, conectar no servidor interno X porta Y.
Repito, o problema aqui não é de pfsense e sim de aplicação de conceitos de rede e roteamento.
att,
Marcello Coutinho -
Olá Marcelo, li sim alguns tutoriais do fórum e o livro de 200 páginas do pfsense (para entender melhor essa ferramenta).
Sobre as NATs eu entendo seu funcionamento em geral, só não estava entendendo no pfsense. Em outros firewall como CentOS e Sonicwall (NAT IN/OUT) isso é feita de boa.
Contratei um serviço de suporte (oficial) ao pfsense e eles alegaram: "Expliquei para Pedro que não tem a possibilidade de que os NATs funcionem sem que o gateway esteja apontado para o PfSense. Deve criar todos os NATs e depois migrar."
Muito obrigado pela sua atenção.
