Измучился с пробросом портов

SergeyKA

@werter:

Что за ОС на проблемной машине?

Win 2003

Telnet на 8888 внутри сети проходит?

Нет! и nmap его не видит

У 192.168.0.8 шлюзом pfsense указан ?

Да.

Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ?

Нету. Мауэр отключен.

На скрине не вошло, но на этом серваке открыт порт RDP и прекрасно летает.
На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт.

werter

На сколько я понимаю у меня проблема не с PFS, а с серваком.
Блин, засада. Не понимаю, почему не слушается порт.

Первым делом всегда проверяйте доступность порта внутри сети!

По остальным вопросам обращайтесь на профильный форум своего (проблемного) ПО.

BlackRoger

В сети есть машина 192.168.0.101 которая показывает web-морду через 80 порт, необходимо подключаться к этой web-морде через нестандартный порт - 555 извне. Шлюз организован на pfsense. Внутри сети все прекрасно работает. Проброс NAT такой:
Interface - WAN
Protocol - TCP
Source Adress - *
Source Ports - *
Dest. Adress - WAN adress
Dest. Ports - 555
NAT IP - 192.168.0.101
NAT Ports - 80 (HTTP)
Другие программы (Radmin, RDP) проброшены по такому же принципу и работают без проблем.

Если в вышеуказанном правиле "Dest. Adress" прописать порт - 80 (HTTP), все начинает работать. В браузере соответственно уже не указываем "внешний_IP:555", просто "внешний_IP".
В чем может быть такая странная проблема?

P.S. В браузере при проверке заходил из другой сети (другой провайдер).

pigbrother

У меня работает подобная комбинация.
WAN TCP * * * 1111 192.168.0.215 80 (HTTP)
Попробуйте
Вместо
Destination= WAN address
использовать
Destination= ANY

BlackRoger

Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.

pigbrother

Отключите файрволл на 192.168.0.101
Подымите на 192.168.0.101 еще какую-нибудь службу, если это Виндовс - включите тот же RDP и попробуйте аналогичное на нем, например -  WAN:33398->192.168.0.101:3389

BlackRoger

Файрвол на 192.168.0.101 выключен, другие службы включая RDP (порт 3389) пробрасываются без проблем. То есть набрав к примеру 89.178.14.21:3555 я подключаюсь по RDP на 192.168.0.101

PbIXTOP

@BlackRoger:

Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.

А нету ли на pfsense squid'a в прозрачном режиме?

pigbrother

@PbIXTOP:

@BlackRoger:

Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.

А нету ли на pfsense squid'a в прозрачном режиме?

Да, явно что-то мешает.

Попутно вопрос. Port forward активно и давно использую. И с мультиваном и без. И ни разу не использовал поле
Destination= WAN address (по умолчанию там ANY)
И все всегда работает.  Что я делаю не так?

BlackRoger

А нету ли на pfsense squid'a в прозрачном режиме?

Стоял - полностью удалил и перезагрузил pfsense. Не помогло
Может быть в system \ advanced где-то галочка не там стоит? Сейчас стоят на:
Enable webConfigurator login autocomplete
Disable HTTP_REFERER enforcement check
Enable Secure Shell

pigbrother

А что насчет WebGUI redirect?
У меня эта галка не отмечена.

Включите лог для этого правила на WAN.

BlackRoger

WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?

pigbrother

@BlackRoger:

WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?

При создании порт форвард создается правило на WAN, обычно начинается со слова NAT. В нем есть пункт Log packets that are handled by this rule.
Смотреть -  Status - System Logs - Firewall

BlackRoger

А что там смотреть "Источник" и "Назначение", больше ничего. Не понятно, почему все остальные порты пробрасываются а именно 80 блочится?

BlackRoger

Попробовал сделать проброс 80 порта на системе Monowall (аналог pfsense), там все сразу заработало без проблем. Так что вывод очевиден - в pfsense где-то стоит секретная галочка.

pigbrother

А если использовать не 555, а 5555, например?
И сбросить states\перегрузить pf?

NegoroX

ВЕБ морда pfsense  на HTTP или на HTTPS ?

BlackRoger

на HTTPS (443 порт), пробовал даже на 10000 порт ее переводил - не помогло.
В NAT переделал правило на 5555 порт, перезагрузил - не помогло.
Кстати, когда заходишь через браузер извне, после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального.

pigbrother

после IP адреса прописывается xx.xx.xx.xx/index.x?theme=800x480 , то есть он нащупывает web интерфейс и тут же блочит. Просто когда заходишь на устройство из локальной сети в адресной строке присутствует этот же фрагмент среди всего остального.

Ничего из вышеописанного не наблюдаю

BlackRoger

Отображения в адресной строке могут отличаться. т.к. у нас разные устройства. Тут просто интересен сам факт, что устройство как бы "прощупывается" извне и тут же блочится.