Port Forward não funciona comigo
-
Esta faltando a regra na wan ou tem uma regra de bloqueio com log antes da regra que libera o nat.
-
Não funcionou também marcelloc… passei horas ontem tantando resolver isso sem sucesso, ja restaurei tudo e tentei fazer do zero. Vou dizer exatamente como estão as configurações aqui:
Tenho um IP fixo na WAN (201.xx.xxx.3), e o gateway ta setado nela (201.xx.xxx.1)
Minha LAN configurada com IP 192.168.123.4 - staticDesmarquei a opção Allow DNS servers to be overridden by DHCP/PPP on WAN logo no inicio da configuração.
Marquei as seguintes opções dentro de Advanced - Firewall/NAT:
- Enables the automatic creation of additional NAT redirect rules for access to 1:1 mappings of your external IP addresses from within your internal networks.
- Automatically create outbound NAT rules which assist inbound NAT rules that direct traffic back out to the same subnet it originated from.
- NAT Reflection mode for port forwards = Enable (Pure NAT)
Na interface WAN desmarquei as seguintes configurações:
- Block private networks
- Block bogon networks
Sendo assim na interface WAN não tem nenhuma regra de firewall ativada. Pronto, blz!
Meu outbound está no automático.
Crio o NAT para direcionar a porta 8080 no ip fixo da WAN para a porta 80 no ip da rede local, com as opções NAT reflection = Use system default e Filter rule association = Add associated filter rule, com isso ele ja cria automaticamente a regra lá na WAN.
Observei o seguinte, marquei o log na regra que o NAT cria na WAN e vi que o firewal está liberando a conexão normalmente. Onde está o problema?
-
Não precisa sair alterando parametros de regras automaticas de nat, principalmente porque você não está configurando um nat 1:1.
O que vem padrão no pfsense já faz todo o trabalho, a unica alteração é quando sysadmins insistem em acessar o servidor interno pelo ip externo. Neste caso(apesar de não ser uma "melhor prática"), habilita-se o nat reflection na regra.
Se as suas tentativas de nat estão registradas no log, significa que estão "batendo" na regra de bloqueio padrão da interface wan.
Revisa suas configurações e já que não tem mais nada na sua wan, tira um print das regras dela e cola aqui.
-
Sempre falo isso, sair alterando parâmetros até as coisas funcionarem não é nem seguro e nem lógico.
-
Bom, novamente fiz um restore das configurações e partindo zero, sem alterar nada.
Segue os prints das regras de firewall e da configuração do NAT, que mesmo depois configurar o nat continua sem funcionar.
-
A regra está ok. Veja se ainda aparece como bloqueado no firewall.
O gateway do servidor web é o ip do pfsense?
Se tiver conhecimento de unix, sugiro ir na console e acompanhar o trafego via tcpdump.
Se prefirir algo mais visual, aplica o patch do hit count para ver via interface web quantos pacotes atingiram essa regra.
-
Ele passa pelo firewall, tinha ate habilitado o log na regra default gerada pelo NAT e ele passa numa boa.
O server web pega o gateway de um outro servidor (192.168.123.1) e o interno do pfsense é 192.168.123.4.
Tirei um print da saida do tcpdump, ta anexado.
-
O server web pega o gateway de um outro servidor (192.168.123.1) e o interno do pfsense é 192.168.123.4.
Não vai funcionar. Você recebe o pacote pela porta e devolve pela janela, nenhum firewall ou gateway vai "manter" uma conexão dessas.
Se quiser fazer um gato para testar, faça um source nat para que as requisições do seu nat cheguem ao server web com o ip lan do firewall.
-
Cara me perdoe, mas como faria isso no pfSense
-
Cara me perdoe, mas como faria isso no pfSense
Melhor mesmo é mudar o gateway do servidor web. Se fizer o source nat, todos os registros de acesso do seu servidor web vão ficar com o ip do fw no lugar do ip externo de quem está acessando.
O outbound nat fica em firewall-> nat -> outbound.
interface lan destination ip do servidor web, saindo com o ip da interface. (Repito, procedimento não recomendado)
-
Entendi.
Na verdade o gateway do servidor web é uma server rodando pfSense também, e eu tenho duas interfaces de rede sem uso nele… Nesse meio tempo, liguei o ip fixo em uma interface livre nesse server, configurei o nat nele e consegui por pra funcionar, mas só funciona quando estou na rede local. Quando tentei acessar de outra rede não funcionou. Vou tirar uns prints e colocar aqui.
