Problème transfert de port - Novice sur Pfsense

jdh

(C'est bien d'avoir suivi le formulaire pour présenter votre problème. A continuer ...)

Vous avez noté qu'il suffit de rédiger une règle dans NAT > Port Forward pour qu'une règle se créé automatiquement dans WAN. Il faut garder à l'esprit que l'on modifie seulement la règle créé dans NAS > Port Forward, et que l'on ne touche pas celle dans WAN !

Cela ne fonctionne pas comme attendu, et ... c'est 'normal' !

Par méconnaissance, vos règles NAT > Port Forward précise le port source, ce qui n'est pas correct : seul le port destination est nécessaire !

Exemple un trafic http se caractérise par

ip destination = ip serveur
port destination = 80
protocole = TCP
Mais le port source est totalement variable (et >1024 en principe) : il ne peut en aucun cas être lui-aussi 80 !
Pour votre trafic c'est la même chose.

Karibou

Bonsoir Jdh,

Merci pour cette réponse, j'ai donc modifié mes fordward comme ci-dessous

0_1547574355923_c10bce59-7ace-4219-a78d-c32d572df9c6-image.png

Mais bizarrement je n'ai que le port 10001 qui passe pour faire mes tests j'utilise le site https://www.yougetsignal.com/tools/open-ports/, les trois autres sont toujours close.

Konstanti

@karibou
Bonne nuit
Vous pouvez utiliser tcpdump (diagnostics/packet capture) pour localiser le problème
Par exemple ,
Interface lan
Protocol any
Port 12345
Host 192.168.0.8
Nous vérifions s'il y a des paquets à 192.168.0.8
Et s'il leur répond
Et je ne suis pas sûr que ce test fonctionne correctement
Il montre les ports TCP ouverts et udp montre que fermé

ccnet

Une capture de trame sur Pfsense vous renseignera certe, tout comme les logs après les avoir activé sur les règles.

Karibou

J'ai activé les logs sur la règle ouvrant le port 12345

Voici ce que j'ai

0_1547586260580_e93916ca-e000-4dce-bfcc-eac1fc9f5272-image.png

Ainsi que la capture

22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0

Konstanti

@karibou Tout est bon
cela montre que les paquets ont passé l'interface wan
Nous devons comprendre ce qui se passe ensuite
Montrez-moi ce que packet capture montre (lan interface)

Karibou

Voici la capture réseau

22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0

Konstanti

@karibou C'est packet capture de WAN interface
et je suis intéressé par l'interface lan

Karibou

@konstanti

22:11:09.127496 IP 198.199.98.246.59206 > 192.168.0.8.12345: tcp 0
22:11:09.157412 IP 192.168.0.8.12345 > 198.199.98.246.59206: tcp 0
22:11:10.325845 IP 198.199.98.246.59208 > 192.168.0.8.12345: tcp 0
22:11:10.329772 IP 198.199.98.246.59216 > 192.168.0.8.12345: tcp 0
22:11:10.356334 IP 192.168.0.8.12345 > 198.199.98.246.59208: tcp 0
22:11:10.356398 IP 192.168.0.8.12345 > 198.199.98.246.59216: tcp 0
22:11:12.212882 IP 198.199.98.246.59222 > 192.168.0.8.12345: tcp 0
22:11:12.243176 IP 192.168.0.8.12345 > 198.199.98.246.59222: tcp 0
22:11:12.413729 IP 198.199.98.246.59223 > 192.168.0.8.12345: tcp 0
22:11:12.414037 IP 192.168.0.8.12345 > 198.199.98.246.59223: tcp 0
22:11:12.599016 IP 198.199.98.246.59224 > 192.168.0.8.12345: tcp 0
22:11:12.629271 IP 192.168.0.8.12345 > 198.199.98.246.59224: tcp 0

Konstanti

@karibou out va bien, le port 12345 fonctionne
L'hôte 192.168.0.8 répond

Konstanti

@karibou Et une autre question
La connexion Internet fonctionne bien ?
Sans problème ?

Karibou

@konstanti

Je pense oui

0_1547587111914_05cab51a-a35b-4d5d-b985-07e637a9329b-image.png

Konstanti

@karibou Je suis intéressé par la question
Tous les sites ont-ils accès à partir d'un réseau lan ?

Karibou

@konstanti
En fait ce ne sont pas des sites, c'est pour piloter mon alarme à distance :-)
Quand je remet mon edgerouter ubiquiti cela fonctionne.
Et quand je suis en local sur le même Lan cela fonctionne également

Konstanti

@karibou
Ça va
Essayez de le faire
system/advanced/networking/
0_1547587633054_de5593f8-c8ea-4fe3-a4b5-44c1c0121a78-image.png

Karibou

@konstanti Pas mieux :-(

Ce qui est bizare c'est la règle sur le port 10001 fonctionne, mais pas les trois autres

Konstanti

@karibou Alors j'ai besoin d'un fichier PacketCapture ( download capture )

et plus diagnostics / command prompt / execute shell command /
ifconfig -m

Karibou

@konstanti
PacketCaptur sur le lan ?

Konstanti

@karibou Oui

Karibou

@konstanti
J'envois le download capture par mp