Подмена IP при пробросе портов
-
В 1 правиле Nat address и Nat port обнулите
-
rubic, дорогой коллега, вместо критики я хотел бы услышить конструктивные предложения. Какие правила в таком случае и как поменять? Еще раз - не вижу ошибки в работе старой версии. Почему в новой WAN натит а LAN нет? Давайте уберу все правила NAT c WAN. Это поможет?
Когда два интерфейса смотрят в один ethernet сегмент, для исходящего из pfSense трафика используется только один из них. Это отражено в документации, но ссылку я на вскидку сейчас не найду. Какой именно? Как-то выбирает система. С точки зрения port forward выходной интерфейс в правилах, как вы знаете, явно не задашь. Его опять же выбирает система на основе таблицы маршрутизации. А поскольку в ней выход в LAN на первом этапе определен через WAN, то и летит все с него.
Вы лучше объясните задачу не на уровне вашей реализации, а в общих словах. В смысле зачем вам надо-то чтобы один хост ходил на другой через третий. Почему им нельзя говорить напрямую и т.д. -
Рисуйте схему со связями, адресами\сетями , интерфейсами, т.е. что куда "смотрит" и через что "входит\выходит".
Только внимательно сперва обдумайте все, чтобы не было "аааа…я вот тут еще адрес неправильно указал\забыл указать"
-
dvserg обнулил NAT порт, а как обнулить NAT address? pfsense там автоматом поставил LAN address…
rubic о чем вы? Какие выборы интерфейсов?? Я с хоста четко обращаюсь на адресс wan на 443 порт, дальше должен отрабатывать pfsense и согласно правилам пробрасывать трафик на дестинайшен хост, если бы LAN натил нормально, то на дистенайшен должен приходит трафик внутри с адресом с интерфейса LAN, а не соурс хоста. Этого не происходит, при чем тут ваши рассуждения?
Честно, даже не хочу спорить. -
dvserg обнулил NAT порт, а как обнулить NAT address? pfsense там автоматом поставил LAN address…
rubic о чем вы? Какие выборы интерфейсов?? Я с хоста четко обращаюсь на адресс wan на 443 порт, дальше должен отрабатывать pfsense и согласно правилам пробрасывать трафик на дестинайшен хост, если бы LAN натил нормально, то на дистенайшен должен приходит трафик внутри с адресом с интерфейса LAN, а не соурс хоста. Этого не происходит, при чем тут ваши рассуждения?
Честно, даже не хочу спорить.При том, что трафик через LAN вообще не идет, какое уж там "натил". Он пришел на WAN, порт форвардом поменял destination, а потом через WAN же к целевому хосту и вылетел, пройдя WAN outbound NAT. Это я вам и пытаюсь объяснить, не тупите. Можете outbound NAT на LAN вообще удалить, ничего не измениться.
-
werter, на одного вас надежда… Хоть какой-то конструктив...
Только не спрашивай зачем мне все это нужно, повторюсь, знаю что нот бай дизайн, знаю что тупо и тп. Просто мне это нужно...
Вот картинка. В иделае ситуация такая, мне нужно на хост Х.252.103 чтобы из сети 10.х приходил запрос на 3389 и на 443 порт форвадились запросы тоже на 3389 на Х.252.103. Картинка прояснит...
Так вот, на Х.252.103 все пакеты при запросе на 443 порт приходят, но соурс не .252.105! может быть соурс WAN адреса если из сети 252 обращаюсь, 10.ххх если из сети 10...
Но на старой версии 1.2.3 все работает как мне нужно... на 2.1 нет.... -
Он пришел на WAN, порт форвардом поменял destination, а потом через WAN же к целевому хосту и вылетел, пройдя WAN outbound NAT
А у меня давно вопрос имеется как раз по движению траффика: есть ли у кого подробная схема движения траффика в pfsense, как к примеру для микротика:
-
А у меня давно вопрос имеется как раз по движению траффика: есть ли у кого подробная схема движения траффика в pfsense, как к примеру для микротика
-
Почему он снова через WAN вылетает? Как ему указать идти на LAN интерфейс?
Поменял правило, теперь с любой сети идешь и соурс меняется на WAN. Почему на 1.2.3 он менял на LAN соурс и поворачивал трафик на LAN? А новой, продвинутой версии перестал??
-
2 rubic
Спасибо. -
Почему он снова через WAN вылетает? Как ему указать идти на LAN интерфейс?
Почему я вам выше все объяснил, читайте. А по сути проблемы попробуйте отключить LAN pfSense от сети, пусть в ней только WAN будет, на нем все и настройте, адрес ему дайте 105, если это принципиально.
ЗЫ c 10.x.x.x не подменяет источник потому, что на WAN outbound NAT нет правила для этой сети.
UPD: LANу дайте адрес и маску из любой левой подсети. В принципе можно и не отключать его из свитча -
rubic, извини если был груб. Просто не понимаю почему старая версия работает, новая нет… (вот серьезно, в чем причина и логика?) А какое нужно прописать правило чтобы с сетью 10.х заработало?
ЗЫ А как pfsense будет работать на одном интерфейсе? -
В NAT Outbound:
WAN 10.x.x.x * * * * *
То же, что и для LAN прописано, только Source 10.x.x.x
Так же как и сейчас будет работать, вы просто привыкли думать, что трафик должен влететь через один интерфейс, а вылететь через именно другой. Но это не так, входной интерфейс может быть тем же, что и выходной, при этом пакет проходит все этапы на картинке выше. Выходной интерфейс определяется на этапе routing и может быть тем же, как по вашему иначе локальные сервисы, тот же GUI бы работали? Ведь вы шлете на LAN запрос и получаете с него же веб-морду pfSense. -
Если я откллючу LAN веб морда не отвалится? Ведь она именно с LAN раздается. Что является кретерием для выбора маршрутизации идити на LAN или только остваться на WAN? Только наличие разных сетей? Можно через shell подкрутить и вернуть "баг" версии 1.2.3 для работы между интерфейсами?
-
Есть поля System - Routes - там можно принудительно прописать маршрут с WAN на LAN в моем дурацком случае?
-
Если я откллючу LAN веб морда не отвалится? Ведь она именно с LAN раздается. Что является кретерием для выбора маршрутизации идити на LAN или только остваться на WAN? Только наличие разных сетей? Можно через shell подкрутить и вернуть "баг" версии 1.2.3 для работы между интерфейсами?
- Морда раздается на всех интерфейсах, другое дело, что на некоторых (LAN) доступ к ней по умолчанию разрешен правилами firewall, а на других (WAN) - запрещен. Просто создайте правило разрешающее доступ к 80-му порту на WAN.
- Да, роутер видит адрес назначения пакета и ищет в своей таблице маршрутов подсеть, которой этот адрес принадлежит, затем свой интерфейс который смотрит в эту подсеть. По результатам пакет отправляется на нужный интерфейс.
- Нет.
-
Есть поля System - Routes - там можно принудительно прописать маршрут с WAN на LAN в моем дурацком случае?
Нет. Где вы возьмете gateway для такого маршрута? При маршрутизации (см. выше, п2), всегда выбирается более специфичный маршрут (с большей маской). Т.е. если бы у вас на WAN была подсеть 192.168.0.0/16, а на LAN 192.168.252.0/24 и оба интерфейса смотрели в один свитч, то пакет с адресом назначения 192.168.252.x улетал бы через LAN и ваша схема бы работала. Попробуйте так сделать. Не понятно зачем это нужно, но вам виднее.
-
Спасибо большое за терпение и помощь. Попробую.
Теперь отвечу на всех мучающий вопрос ЗАЧЕМ твсе это )
Есть офисная рабочая сеть, есть выделенная под тесты сеть. Есть нат из интернета на один адрес и несколько портов в тестовую сеть.
Доступ к аппаратным маршрутизаторам пробрасывающим нат из интеренета по портам отсуствует. Нужно самостоятельно из тестовой сети пробросить наружу несколько сервисов работающих на других, нежеле разрешенные порты.
Ничего другого, как сделать ПАТ (порт адрес транслейт) внутри тестовой сети в голову не пришло.
Да, задача вырожденная и надуманная. Если есть другое более грамотное решение, буду не против сулышать. -
2 Feral
А схему сети (по-подробнее) еще никто от Вас не просил? Тогда я - первый :)
-
rubic, поменял маску. WAN\16, LAN\22 - все заработало. Приходит в сорсах LAN интерфейс. Спасибо тебе ЧЕЛОВЕЧЕСКОЕ!
Напьюсь… Чуть не поседел за неделю...
Так и не понимаю как это с одной маской работало 1.х... Просто не понимаю если нет логики маршрутизации принудительной между интефейсами, а только логика размера сети...
жесть...
