Проблема с форвардингом портов

Pashka · Dec 20, 2013, 7:50 AM

System: Advanced: Firewall and NAT > Network Address Translation / NAT Reflection mode for port forwards

Если эта функция включена , это автоматически создает дополнительный NAT правила перенаправления для доступа к портовых форвардов на внешнем IP адресe из вашего внутренних сетей .

я вот только не понял, в чем отличие того, что я делаю здесь "System: Advanced: Firewall and NAT > Network Address Translation / NAT Reflection mode for port forwards" и того, что я отключаю его, когда создаю правило NAT? К сожалению нет возможности экспериментировать, так как маршрутизатор находится в работе, поэтому приходится выяснять все до подробностей.

dvserg · Dec 20, 2013, 8:08 AM

Попробую описать проблему при доступе локального клиента к локальному Веб серверу через внешний адрес WAN с пробросом портов.

1. В локальной сети все компьютеры находятся в одном адресном пространстве и общаются напрямую по своим IP адресам.
2. NAT - меняет (маскирует) адрес отправителя
3. МАПИНГ - меняет адрес получателя

В технологии мапинга портов с WAN на внутренний IP Веб сервера происходит замена WAN адреса на внутренний серый, а адрес отправителя сохраняется.
Для внешних запросов это не критично, ответ от ВЕБ-сервера идет назад на pfSense и тот уже производит обратные манипуляции де-мапинга.
Проблема есть для внутренних запросов. Локальный клиент отправляя запрос на WAN желает получить ответ от него-же, но мапинг переадресовывает пакет на локальный сервер, который видит, что пакет от клиента, и пытается ответить ему напрямую (см. п. 1 ) минуя pfSense. Обратного де-мапинга пакета не происходит и он игнорируется клиентом ("х.з. от кого пришло - я такого не спрашивал").

Опция System: Advanced: Firewall and NAT > Network Address Translation / NAT Reflection mode for port forwards вроде как позволяет добавочными NAT правилами обманывать локальный веб сервер и заставляет его отсылать ответ назад локальному клиенту через pfSense. Делается это еще одним правилом NAT, которое подменяет адрес отправителя на адрес WAN (? вроде да) интерфейса, и тогда локальный Веб-сервер уверен, что запрос отправлял сам pfSense.

Но в этой опции нужно почитать описание ее режимов, чтобы выбрать подходящий.

Как-то так.

Pashka · Dec 23, 2013, 8:11 AM

@dvserg:

Делается это еще одним правилом NAT, которое подменяет адрес отправителя на адрес WAN (? вроде да) интерфейса, и тогда локальный Веб-сервер уверен, что запрос отправлял сам pfSense.

хм… а как это сделать?

dvserg · Dec 23, 2013, 8:14 AM

@Pashka:

@dvserg:

Делается это еще одним правилом NAT, которое подменяет адрес отправителя на адрес WAN (? вроде да) интерфейса, и тогда локальный Веб-сервер уверен, что запрос отправлял сам pfSense.

хм… а как это сделать?

System: Advanced: Firewall and NAT > Network Address Translation / NAT Reflection mode for port forwards

Pashka · Dec 23, 2013, 8:53 AM

@dvserg:

@Pashka:

@dvserg:

Делается это еще одним правилом NAT, которое подменяет адрес отправителя на адрес WAN (? вроде да) интерфейса, и тогда локальный Веб-сервер уверен, что запрос отправлял сам pfSense.

хм… а как это сделать?

System: Advanced: Firewall and NAT > Network Address Translation / NAT Reflection mode for port forwards

А это обзательно делать в глобальных настройках?
я создал правило NAT(в опциях правила NAT Reflection mode указал "Pure NAT"), но у меня по-прежнему нет доступа к вебсерверу из локалки.

dr.gopher · Dec 23, 2013, 8:55 AM

@Pashka:

А это обзательно делать в глобальных настройках?

Можно и не делать!
Но и работать не будет. :-))

FenixJ · Dec 23, 2013, 9:17 AM

Паша ты задаешь слишком много вопросов ( с тебя уже 1000р на адрес модера;))) а вообще почитай сперва про правила что такое нат и как организовать локальную сеть с DNS а потом уже пиши сюда 1000% все вопросы твои сами собой пропадут

Pashka · Dec 23, 2013, 10:17 AM

@dr.gopher:

@Pashka:

А это обзательно делать в глобальных настройках?

Можно и не делать!
Но и работать не будет. :-))

хм… Вот значит как?! Попробую.

Pashka · Dec 24, 2013, 5:54 AM

В общем ничего у меня не заработало… :(
То ли руки кривые, то ли что-то с pfSense не решаемо.

dvserg · Dec 24, 2013, 7:09 AM

И за всё время переписки ни одного скриншота правил.

dvserg · Dec 24, 2013, 10:31 AM

А что у Вас в Source в этом правиле? Я вижу отрицание !*

werter · Dec 24, 2013, 11:34 AM

И в Dest. addr не выбран WAN address.

Pfsense - это инструмент. Как вы с ним будете обращаться - так он будет работать. Если неверно написано правило, то нечего и требовать от него работоспособности.

P.s. 3-е снизу правило Port forwarding - зачем оно там? Объясните его смысл, пож-та.

Pashka · Dec 24, 2013, 1:32 PM

@dvserg:

А что у Вас в Source в этом правиле? Я вижу отрицание !*

пардон, в прошлом сообщении было много "секретной" информации…
@werter:

P.s. 3-е снизу правило Port forwarding - зачем оно там? Объясните его смысл, пож-та.

Перенаправляет пользователей в сеанс RDP.

gr0mW · Dec 24, 2013, 1:40 PM

То что вы показали на скриншоте–это портфорвард на web server (http на 80 порт), а 3 правило в удаленном скрине было другое. Вы хотя бы правила показали.

Pashka · Dec 24, 2013, 2:13 PM

Собственно правила.

dvserg · Dec 24, 2013, 3:06 PM

Второе сверху правило что должно делать?
Имеет значение порядок правил.
Поднимите последнее правило на 2 место.

Pashka · Dec 25, 2013, 12:06 PM

@dvserg:

Поднимите последнее правило на 2 место.

поднял… эффекта нет. ???

dvserg · Dec 25, 2013, 12:14 PM

@Pashka:

@dvserg:

Поднимите последнее правило на 2 место.

поднял… эффекта нет. ???

Вышлите текущие скриншоты и файл /tmp/rules.debug мне на мыло.