Измучился с пробросом портов
-
Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?
К сожалению уже ушел с работы, внешнего доступа нет. Завтра устром в 8:30 по Мск попробую и отпишусь о результатах. Но из локалки сервак отлично пингуется(из внешки тоже пинг есть)
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
P.S. Да и пинг из-вне с такими правилами идти на внутренние машины не должен. На WAN нет разрешающих правил для ICMP.
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
т.е. получается надо копать squid чтобы не мешал бегать траффику из вне?Обязатаельно завтра попробую его отключить и протестить
-
Правило Dest.Addr WAN address и Dest. ports 3128 NAT IP 192.168.1.3 по-моему вообще надо удалить, а
вместо правила Dest.Addr * Dest. ports 8088 NAT 192.168.1.2 NAT Ports 80 вместо Dest.Addr *
прописать Dest.Addr WAN address.
По идее всё должно железно работать.
А ещё - не стоит ли на серваке касперский - не включен ли режим невидимости, тогда в локалке всё
будет бегать, а из интернета фигвам. -
Ну что ж утренний отчет по действиям что советовали вчера:
1. Выключил сквид-проверил соединение из внешки-не работает
2. Еще раз проверил все правила файрвола и пробросов, на данный момент они вот такие(см.приложения)
3. Так как на данный момент почтовый сервак очень важен решил все таки колдовать с пробросом RDP подключения на сервак 1с(айпишник 192.168.1.199)
Открыл для него порт 2000(2ip.ru видит порт открытым, хотя в тоже время порт 8088 виден закрытым)
4. Пробовал телнетом проваливаться по портам, из внешки ничего не проходит(сквид и включен и выключен-результат один). Если телнетом долбить находясь в нутри сети по внешнему айпишнику соединение отличное(RDP также работает отлично даже если цепляемся на внешний IP находясь внутри сети)
5. Антивирь на серваке 1с отключен, брендмауэр тоже(как система на 1с серваке юзается win7 prof с патченым файлом для кол-ва RDP)Какие еще будут советы как победить шантан машину?
P.S. Давайте теперь будем рассматривать проброс RDP подключения т.к. данный сервак уже настроен на шлюз с PFsense
-
А скопировать в закладке LAN правило с LAN net и вместо LAN net поставить 192.168.1.2,
и такое же правило для 192.168.1.199?
А с внешки RDP как набираете - mstsc <белый ip-адрес>:2000,
а в браузере <белый ip-адрес>:8088? -
Попробовал и так(см 1 картинку) и так (см 2 картинку) результат тот же-из внешки подключиться не удалось
-
RDP набираю конечно же "белый IP:2000" ну и в браузере соответственно тоже с указанием порта
-
Удалите в LAN закладке два нижних правила, они ни к чему.
В принципе, если создать алиас к примеру servers, в него прописать серваки 192.168.1.2 и 192.168.1.199
и в правиле вместо LAN net поставить алиас servers, всё просто обязано железно работать!
У меня работает и RDP и VNC и видеонаблюдение. -
В NAT port-forward Dest.port поставте 3389. Если Вы подключаетесь из Windows "Подключение к удаленному рабочему столу" то заработает.
-
С 2000 - портом тоже все работает. В "Подключение к удаленному рабочему столу" В параметрах входа – Компьютер -- ip.address:portПроверил на своей сети работает.</ip.address:port>
-
Настройка как на Ваших скринах в начале топика, только без сквида и правило 8088 с Dest.addr – WAN address.
P.S. И 8088 с такими настройками работает. И на LAN оставте только разрешающее правило (а 2 нижних уберите)
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
выброси скрины настроек
-
Бросил тебе в личку, форум глюкает что то, не могу прикрепить файлы
-
Просьба тоже скинуть в личку. Вопрос, ты на серваке что указал шлюзом? У тебя сервак ходит мимо Squida?
-
Доброго времени суток. Вот действительно измучился с пробросом портов.
Задача такова, надо открыть порт для работы приложения. Настроенные ранее порты работают как часы.
https://cloud.mail.ru/public/5d9e8d6cf096/tab1.png
причём 5555 порт выполняет туже задачу, только на другом сервере.
Проблема возникает с 8888. Правило создавал и полностью новое, и на базе существующего.
Итог порт открылся, потом через пару дней опять закрыт.
Вот настройка NAT
https://cloud.mail.ru/public/c7710f85df6b/tab2.png
и Rules
https://cloud.mail.ru/public/5b68c48f7709/tab3.png
а это все по Rules
https://cloud.mail.ru/public/2237c44f4949/tab4.png
Подскажите, в каком направлении копать -
Что за ОС на проблемной машине? Telnet на 8888 внутри сети проходит? У 192.168.0.8 шлюзом pfsense указан ? Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ? Если есть - временно выключить (и родной от MS тоже)
-
Что за ОС на проблемной машине?
Win 2003
Telnet на 8888 внутри сети проходит?
Нет! и nmap его не видит
У 192.168.0.8 шлюзом pfsense указан ?
Да.
Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ?
Нету. Мауэр отключен.
На скрине не вошло, но на этом серваке открыт порт RDP и прекрасно летает.
На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт. -
На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт.Первым делом всегда проверяйте доступность порта внутри сети!
По остальным вопросам обращайтесь на профильный форум своего (проблемного) ПО.
-
В сети есть машина 192.168.0.101 которая показывает web-морду через 80 порт, необходимо подключаться к этой web-морде через нестандартный порт - 555 извне. Шлюз организован на pfsense. Внутри сети все прекрасно работает. Проброс NAT такой:
Interface - WAN
Protocol - TCP
Source Adress - *
Source Ports - *
Dest. Adress - WAN adress
Dest. Ports - 555
NAT IP - 192.168.0.101
NAT Ports - 80 (HTTP)
Другие программы (Radmin, RDP) проброшены по такому же принципу и работают без проблем.Если в вышеуказанном правиле "Dest. Adress" прописать порт - 80 (HTTP), все начинает работать. В браузере соответственно уже не указываем "внешний_IP:555", просто "внешний_IP".
В чем может быть такая странная проблема?P.S. В браузере при проверке заходил из другой сети (другой провайдер).
-
У меня работает подобная комбинация.
WAN TCP * * * 1111 192.168.0.215 80 (HTTP)
Попробуйте
Вместо
Destination= WAN address
использовать
Destination= ANY -
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
-
Отключите файрволл на 192.168.0.101
Подымите на 192.168.0.101 еще какую-нибудь службу, если это Виндовс - включите тот же RDP и попробуйте аналогичное на нем, например - WAN:33398->192.168.0.101:3389 -
Файрвол на 192.168.0.101 выключен, другие службы включая RDP (порт 3389) пробрасываются без проблем. То есть набрав к примеру 89.178.14.21:3555 я подключаюсь по RDP на 192.168.0.101
-
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
А нету ли на pfsense squid'a в прозрачном режиме?
-
Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.
А нету ли на pfsense squid'a в прозрачном режиме?
Да, явно что-то мешает.
Попутно вопрос. Port forward активно и давно использую. И с мультиваном и без. И ни разу не использовал поле
Destination= WAN address (по умолчанию там ANY)
И все всегда работает. Что я делаю не так? -
А нету ли на pfsense squid'a в прозрачном режиме?
Стоял - полностью удалил и перезагрузил pfsense. Не помогло
Может быть в system \ advanced где-то галочка не там стоит? Сейчас стоят на:
Enable webConfigurator login autocomplete
Disable HTTP_REFERER enforcement check
Enable Secure Shell -
А что насчет WebGUI redirect?
У меня эта галка не отмечена.Включите лог для этого правила на WAN.
-
WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?
-
WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?
При создании порт форвард создается правило на WAN, обычно начинается со слова NAT. В нем есть пункт Log packets that are handled by this rule.
Смотреть - Status - System Logs - Firewall -
А что там смотреть "Источник" и "Назначение", больше ничего. Не понятно, почему все остальные порты пробрасываются а именно 80 блочится?
-
Попробовал сделать проброс 80 порта на системе Monowall (аналог pfsense), там все сразу заработало без проблем. Так что вывод очевиден - в pfsense где-то стоит секретная галочка.
-
А если использовать не 555, а 5555, например?
И сбросить states\перегрузить pf? -
ВЕБ морда pfsense на HTTP или на HTTPS ?
-
на HTTPS (443 порт), пробовал даже на 10000 порт ее переводил - не помогло.
В NAT переделал правило на 5555 порт, перезагрузил - не помогло.
Кстати, когда заходишь через браузер извне, после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального. -
после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального.
Ничего из вышеописанного не наблюдаю
-
Отображения в адресной строке могут отличаться. т.к. у нас разные устройства. Тут просто интересен сам факт, что устройство как бы "прощупывается" извне и тут же блочится.
-
пробуй ВЕБ перевести на HTTP, и порт задай например 180
(как я думаю это освободит 80 порт -
Перенес WEB на HTTP и указал 180 порт, зашел на 192.168.0.1:180, перезагрузил pfsense - не помогло.