Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT Port Forwarding

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      be1001
      last edited by

      Hallo,

      ich habe meine neue Firewall pfsense 2.2.4 am laufen. Nur mit dem Port Forwarding habe ich Probleme.

      Ich habe eine Feste IP: 217.x.x.x

      Wenn ich die von einem externen Internetanschluß aufrufe komme ich immer auf die Webpage der pfsene.

      Ich kann einstellen was ich will, alle Anleitungen im Internet sehen anders aus.

      Hat jemand einen aktuelle Einstellung oder kann mir einen Printcopy senden?

      Danke für die Hilfe.

      Christian :-[

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Wenn ich die von einem externen Internetanschluß aufrufe komme ich immer auf die Webpage der pfsene.

        Hast du die denn überhaupt freigegeben? Das dürfte so ohne weiteres nämlich nicht der Fall sein, da Default alles auf dem WAN geblockt wird.

        Hat jemand einen aktuelle Einstellung oder kann mir einen Printcopy senden?

        Was willst du denn nun überhaupt erreichen? Dann kann ich dir auch gern helfen dabei :)

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by

          Du musst für den WebConfigurator einen anderen TCP Port wählen: System > Advanced > Admin Access TCP Port
          Setze auch den Haken bei "WebGUI redirect".

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @virago: ist eine Möglichkeit, muss aber nicht sein. Ich hab meine pfS hier im Lab auch intern auf https/443 ganz normal und von außen via Port Forward wird 443 auf ein anderes System umgebogen. Die NAT Regeln werden in PF eigentlich immer vor den normalen Regeln ausgelesen und ausgewertet, so dass man das durchaus umleiten kann - und das auch sehr spezifisch (default von außen auf einen Honeypot bspw. und nur von trusted IPs antwortet die Firewall).

            Deshalb fragte ich auch was genau der OP bauen wollte und was wohin umleiten. :)

            Viele Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • B
              be1001
              last edited by

              Hallo,

              ich habe im LAN einen Webserver für mein Webmail.

              Ich möchte den Port 80 auf meinen Webserver umleiten.

              Anbei meine Einstellung.

              Nat.jpg
              Nat.jpg_thumb

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Was mir auffällt:

                Vorab: Erstelle ein Port Alias mit beliebigem Namen (bspw. P_web_default) und füge dort die Ports 80 & 443 ein.

                Protokoll: TCP only, UDP hat bei HTTP/S nichts zu suchen ;)

                Source: hat leer zu sein. also Type: any, hier NICHTS einfügen, sonst begrenzt du den Punkt, wer dir Daten senden darf (aka das Internet). Da das bei dir auf dem Telekom_VDSL net steht wird das so ziemlich niemand sein…

                Source Port: hat leer zu sein, Verkehr VOM Client kommt nicht von Port 80/443, sondern von random HighPorts > 1024!

                Destination: hier müsste die IP der Firewall hin, also wahrscheinlich die VDSL_address, also die Adresse die deine Firewall via VDSL im Internet hat.

                Dest. Port: Hier dein vorher erstelltes Port Aliase eingeben (rote Felder unterstützen Auto-Completion)

                Redirect Target/Port: Da muss dein Server und seine IP rein. Der Target Port sollte mit dem Alias oben übereinstimmen.

                Reflection: wirst du nur brauchen, wenn du vom LAN aus mit der externen IP dich auf den Server verbinden willst (wegen DNS oder derlei), Normalfall aber erstmal nicht.

                Filter Rule: Stelle das lieber auf add associated filter rule und gebe bei Description weiter oben einen sinnvollen Namen für diese Regel ein (allow HTTP to Server1 via NAT) und dann speicher das Ganze.

                Was mit "add associated rule" passiert ist, dass dir jetzt bei Firewall/Rules eine mit Link/Ketten Symbol neu erstellte Regel ins Auge sticht, die den Verkehr, der vorher per NAT umgewandelt wird durchlässt. Eine eigene Regel zu haben ist aber einfacher als bei NAT "pass" auszuwählen und macht es einfacher, bei größeren Regelsets durchzusteigen, WARUM bspw. überhaupt was funktioniert oder nicht.

                Editiere jetzt die neue verlinkte Regel und du siehst, dass der meiste Kram ausgegraut ist (da sie an der NAT Regel hängt). Du kannst aber bei "Log" den Haken bei Log packets reinmachen. Dann wirst du Verbindungsversuche via dieser Regel mitbekommen und kannst prüfen ob es klappt.

                Speichern, Apply, testen.

                Have fun

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.