Como hacer un NAT por el pueto 53 un segmento de red a otro (¿redireccionar?)
-
gracias colega nuevamemente ya logre hacerlo, al menos internamente le hago un test al puerto 53 con las herramientas de diagnostico :D pero cuando le hago el test desde paginas para hacer test, me da como que el puerto esta cerrado, como habilito la IP virtual o mas bien como doy acceso desde el exterior al puerto 53 es lo que me va quedando, gracias nuevamente ;)
-
Supongo que tienes el /29 asignado (ruteado) por tu ISP… ?
Tienes la regla de FW que permita trafico TCP/UDP al puerto 53 de la IP virtual... ?
A ciegas es muy difícil ayudarte/orientarte, por favor adjunta capturas de pantalla de tus configuraciones:
-
"Firewall" --> "Virtual IPs"
-
"Firewall" --> "NAT" --> "Port Forward"
-
"Firewall" --> "Rules" --> "WAN"
-
-
Bueno ya logro desde el exterior poder hacer telnet al puerto 53, me fije en la configuracion Virtual IP y tenia problema en la mascara, asi que lo arregle y tengo ya acceso a ese puerto, pero ahora el problema que tengo es otro, se supone que a la pc donde tengo hecho port forward que es un IP de mi lan, le hago consultas pero no me resuelve, la pc que tengo dentro de mi LAN se supone que deben tener acceso? te pongo mas claros los detalles y ahora te adjunto lo que he hecho trate de insertar las imagenes en el boton de insert imagen pero no se como subo la imagenes, tienes algun correo donde te las pueda enviar?
img C:\Users\Yorjans\Desktop\Pfsense img
-
Las capturas de pantalla las "adjuntas" a tu post…. abajo, "+ Attachments and other options"
-
ahi van, colega eres el mejor!!! ;D
-
espero entiendas lo que quiero hacer la pc que esta dentro de la LAN tiene instalado Ubuntu 12.04, yo tuve puesto este servidor directo a ISP, con su Firewall interno y pinchaba OK pero al ver que existia Pfsense y tienes mucho mas seguridad, y ademas ahorro en PCs a instalar, me fui por esta via, no se si hay que hacer cambios en los ficheros /etc/hosts y hostname de mi servidor para ponerle el ip 190.92.126.42
-
-
En el Port forward tienes protocolo: TCP, y debe ser TCP/UDP (DNS utiliza UDP, y eventualmente TCP)
-
La regla de FW de la WAN, No es correcta
Source debe ser "ANY"
Port debe ser "ANY"
Destination debe ser "Solo" la IP Virtual (190.92.126.42/32)
Port (de destino) 53
-
-
Colega disculpa la demora, pero estaba reventado del sueño, anoche mismo me acoste a las 2 am resolviendo este problema, porque llevo semanas tratando de mejorar la red, y soy el único que esta trabajando con esto, sigo enredado con esto :( hice todos los arreglos que me recomendaste, pero en las:
Firewall: Rules
no pude poner 190.92.126.42/32 como me recomendaste, solo me permite poner /31 te adjunto las imagenes a continuación
en la pc ubuntu 12.04 configure
10.208.0.52
255.255.255.0
10.208.0.57 - esta es la puerta de enlace que se encuentra configurada en la LAN de Pfsensey bueno desde esta ip del servidor 10.208.0.52 ya puedo hacer consultas hacia afuera, pero desde el exterior no le llegan las consultas a 190.92.126.42 al puerto 53 (esta pc el hostname es ns1.uart.edu.cu)
estas son las imagenes:
 -
Realiza una captura de paquetes en la "WAN" a ver si están llegando las peticiones DNS desde afuera: "Diagnostics" –> "Packet Capture"
Pones a capturar, y luego realizas las pruebas desde fuera, a ver si aparecen las peticiones dirigidas a la IP 190.92.126.42
Qué estás utilizando para realizar las pruebas "desde fuera" ?
-
colega :) realmente te debo mas que las gracias porque un domingo dia de las madres acá en Cuba y me estas ayudando bastante, acá tienes un amigo, para en lo que te pueda ayudar.
estoy usando dos paginas que hacen ese tipo de test online
http://www.yougetsignal.com/tools/open-ports/
http://mxtoolbox.com/DNSLookup.aspxestas yo las probe cuando tenia mi dns directo a internet sin usar Pfsense y me dieron buenos resultados, acabo de poner lo de captura de paquetes en la WAN ahora te pongo los resultados
-
esto es una muestra de lo que me sale :-\
21:35:08.933922 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 59967, length 60
21:35:09.932833 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 60223, length 60
21:35:09.933854 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 60223, length 60
21:35:09.968889 IP 186.56.91.241 > 190.92.126.42: ICMP echo request, id 12190, seq 5977, length 40
21:35:10.325684 IP 10.208.0.52.49644 > 200.55.128.3.53: UDP, length 28
21:35:10.325809 IP 10.208.0.52.24728 > 200.55.128.3.53: UDP, length 45
21:35:10.932838 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 60479, length 60
21:35:10.933481 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 60479, length 60
21:35:11.932840 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 60735, length 60
21:35:11.933484 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 60735, length 60
21:35:12.932844 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 60991, length 60
21:35:12.933487 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 60991, length 60
21:35:13.932868 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 61247, length 60
21:35:13.933516 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 61247, length 60
21:35:14.932872 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 61503, length 60
21:35:14.933517 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 61503, length 60
21:35:15.932854 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 61759, length 60
21:35:15.933500 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 61759, length 60
21:35:16.026575 IP 186.56.91.241 > 190.92.126.46: ICMP echo request, id 41888, seq 5980, length 40
21:35:16.932861 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 62015, length 60
21:35:16.933505 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 62015, length 60
21:35:17.932859 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 62271, length 60
21:35:17.933502 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 62271, length 60
21:35:18.932863 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 62527, length 60
21:35:18.933511 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 62527, length 60
21:35:19.932868 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 62783, length 60
21:35:19.933509 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 62783, length 60
21:35:20.325684 IP 10.208.0.52.34505 > 192.36.148.17.53: UDP, length 28
21:35:20.325815 IP 10.208.0.52.2143 > 192.36.148.17.53: UDP, length 45
21:35:20.932872 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 63039, length 60
21:35:20.933519 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 63039, length 60
21:35:20.965160 IP 186.56.91.241 > 190.92.126.46: ICMP echo request, id 41888, seq 5982, length 40
21:35:21.933556 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 63295, length 60
21:35:21.934203 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 63295, length 60
21:35:22.933556 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 63551, length 60
21:35:22.934198 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 63551, length 60
21:35:23.933564 IP 190.92.126.46 > 190.92.126.41: ICMP echo request, id 65080, seq 63807, length 60
21:35:23.934211 IP 190.92.126.41 > 190.92.126.46: ICMP echo reply, id 65080, seq 63807, length 60 -
No están llegando las peticiones al la WAN….
Deberías ver algo así como:
21:35:20.325684 IP 198.199.98.246:55520 > 190.92.126.42.53: UDP, length 28
No estará tu ISP bloqueando trafico entrante al puerto 53 ?
Crea una Regla permitiendo ICMP a la IP Virtual (190.92.126.42) y prueba si responde al "Ping / Traceroute" desde fuera
-
no amigo todo esta bien con ISP, yo ya habia probado anteriormente como te comente con un servidor con ubuntu 12.04 esta pc estaba directa a internet y con solo el puerto 53 directo a internet podia hacer consultas de lo mas bien, yo tengo asignado para mi salida a internet un rango de ip 190.92.126.42 - 46/29 y mi puerta de enlace es 190.92.126.41 la verdad no se donde puede estar el problema, que mas datos necesitas?, nuevamente estoy super que agradecido, no se si eres parte de este forum, pero tu ayuda me ha servido de mucho, muchas gracias. :D
-
miara aca te pongo otra imagen para que veas las consultas que hago desde dentro hacia afuera, con mi ip 10.208.0.52, espero sirva de algo
 -
Vuelve a la captura de paquetes…
Pones a capturar en la WAN, y desde http://www.yougetsignal.com/tools/open-ports/ pruebas la IP 190.92.126.42 y puerto 53, y deberías ver en la captura algo como:
21:35:20.325684 IP 198.199.98.246:55520 > 190.92.126.42.53: UDP, length 28
o
21:35:20.325684 IP 198.199.98.246:55520 > 190.92.126.42.53: TCP, length 28
-
si te fijas en la imagen el ip 10.208.0.52 usa los forwards 200.55.128.4:53 <- 10.208.0.52:51139 para hacer consulta hacia afuera, este ip 200.55.128.4 esta en internet, y funciona como dns y son los que utilizo para hacer las consultas en vez de 8.8.8.8 o 8.8.4.4, los dns públicos de Google.
-
Una cosa es el tarfico "Outbound" y otra el "Inbound"
No se me ocurre otra cosa :(
En todo caso revisa la documentación, acerca de los problemas comunes relacionados al port forward: https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting
Probaste con la regla permitiendo ICMP a la IP Virtual, a ver si responde a los PING desde afuera ?
-
ya lo hice solo ten pongo los resultados para es Ip 198.199.98.246 que me mencionaste que es el de la pagina de hacer test online al puerto 53 por lo visto no ha llegado nada, dime como pongo esa regla icmp para poder hacerl ping a 190.92.126.42
22:28:06.246570 IP 198.199.98.246.34995 > 190.92.126.42.53: tcp 0
22:28:07.243746 IP 198.199.98.246.34995 > 190.92.126.42.53: tcp 0
22:28:07.246292 IP 198.199.98.246.34997 > 190.92.126.42.53: tcp 0
22:28:08.242499 IP 198.199.98.246.34997 > 190.92.126.42.53: tcp 0
22:28:08.244196 IP 198.199.98.246.34999 > 190.92.126.42.53: tcp 0
22:28:09.240106 IP 198.199.98.246.34999 > 190.92.126.42.53: tcp 0
22:28:11.088505 IP 198.199.98.246.35000 > 190.92.126.42.53: tcp 0
22:28:12.086390 IP 198.199.98.246.35000 > 190.92.126.42.53: tcp 0
22:28:12.091651 IP 198.199.98.246.35001 > 190.92.126.42.53: tcp 0
22:28:13.088912 IP 198.199.98.246.35001 > 190.92.126.42.53: tcp 0
22:28:13.091043 IP 198.199.98.246.35002 > 190.92.126.42.53: tcp 0
22:28:14.085687 IP 198.199.98.246.35002 > 190.92.126.42.53: tcp 0 -
bueno una ultima recomendacion reinstalar Pfsense y comenzar desde cero siguiendo tu recomendacion? :-\
-
Disculpa, pero, como decimos por aquí "Metí la pata" con la regla de FW de la WAN :-[
Va un paso a paso en imágenes:
