Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Не работает проброска портов 443,80

    Scheduled Pinned Locked Moved Russian
    13 Posts 4 Posters 893 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • С
      Сергей Д.
      last edited by Сергей Д.

      Не могу понять почему нет работает проброска порта HTTPS 443 на хост 192.168.24.15 (на хосте установлен IIS) , настройки Firewall делал с особой внимательностью а толку нет.

      Настройки NAT https://yadi.sk/i/_tvGGsr-Zbwe-Q
      alt text
      Настройки Rules https://yadi.sk/i/etbUitAoRKqvFg
      alt text
      А это состояния хоста 192.168.24.15 при запросе к нему по внешнему IP через WAN на 443 порт (IIS). В пределах локальной сете все работает, на 443 все поступает и обрабатывается https://yadi.sk/i/cYfQQLnpskJVfg
      alt text

      Что я упустил, почему не работает???

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @Сергей Д.
        last edited by

        @Сергей-Д
        Здр
        Картинки очень плохого качества
        Но
        Проброс 80 порта на хост 192.168.24.15 работает ( по крайней мере , снаружи вовнутрь, обратно не знаю)
        С пробросом 443 порта какая-то каша
        По правилам NAT Вы пробрасываете любой порт источника TCP/UDP на нужный Вам хост.
        По правилам файрвола появляются порты источника 5000-6000 (опять же видно, что тут проброс работает , обратные пакеты не знаю)

        Покажите вывод команды
        ifconfig -m

        Предположительно (но это мое мнение) , проблема в контрольных суммах tcp пакетов ( такое бывает , если используется PF на виртуальное машине или используется сетевая Realtek)

        С 1 Reply Last reply Reply Quote 0
        • С
          Сергей Д. @Konstanti
          last edited by Сергей Д.

          @Konstanti said in Не работает проброска портов 443,80:

          ifconfig -m

          извиняюсь за картинки я их на яндекс выложил в виде ссылок

          ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        capabilities=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        ether 00000000000000
        hwaddr 00000000000000
        inet6 fe80::9ade:d0ff:fe00:865d%ste0 prefixlen 64 scopeid 0x1
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        supported media:
                media autoselect
                media 100baseTX mediaopt full-duplex
                media 100baseTX
                media 10baseT/UTP mediaopt full-duplex
                media 10baseT/UTP
                media none
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>
        ether 00000000000000
        hwaddr 00000000000000
        inet6 fe80::1a31:bfff:fe29:a0e9%re0 prefixlen 64 scopeid 0x2
        inet 192.168.24.5 netmask 0xffffff00 broadcast 192.168.24.255
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        supported media:
                media autoselect mediaopt flowcontrol
                media autoselect
                media 1000baseT mediaopt full-duplex,flowcontrol,master
                media 1000baseT mediaopt full-duplex,flowcontrol
                media 1000baseT mediaopt full-duplex,master
                media 1000baseT mediaopt full-duplex
                media 100baseTX mediaopt full-duplex,flowcontrol
                media 100baseTX mediaopt full-duplex
                media 100baseTX
                media 10baseT/UTP mediaopt full-duplex,flowcontrol
                media 10baseT/UTP mediaopt full-duplex
                media 10baseT/UTP
                media none
enc0: flags=0<> metric 0 mtu 1536
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: enc
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        capabilities=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo
pflog0: flags=100<PROMISC> metric 0 mtu 33160
        groups: pflog
pfsync0: flags=0<> metric 0 mtu 1500
        groups: pfsync
        syncpeer: 224.0.0.240 maxupd: 128 defer: on
        syncok: 1
pppoe1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
        inet 94.75.135.161 --> 94.75.128.1 netmask 0xffffffff
        inet6 fe80::9ade:d0ff:fe00:865d%pppoe1 prefixlen 64 scopeid 0x7
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

          и самое интересное если выполнять запросы с сайтов по проверки портов они доходят до 192.168.24.15

          K P 2 Replies Last reply Reply Quote 0
          • K
            Konstanti @Сергей Д.
            last edited by

            @Сергей-Д
            У Вас на lan порту карта Realtek
            попробуйте сделать так

            из консоли
            ifconfig re0 -rxsum -txsum

            заработает ?

            С 1 Reply Last reply Reply Quote 0
            • С
              Сергей Д. @Konstanti
              last edited by

              @Konstanti said in Не работает проброска портов 443,80:

              ifconfig re0 -rxsum -txsum

              ifconfig: -rxsum: bad value

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @Сергей Д.
                last edited by

                @Сергей-Д
                а так ?

                System/Advanced/Networking

                bb573f9e-db33-40c6-9cc4-50f73f0de2ab-image.png

                С 1 Reply Last reply Reply Quote 1
                • С
                  Сергей Д. @Konstanti
                  last edited by

                  @Konstanti
                  А он предупреждает о необходимости перезагрузки и перенастройки интерфейса, это так

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @Сергей Д.
                    last edited by Konstanti

                    @Сергей-Д
                    Возможно
                    Попробуйте без перезагрузки выставить эти опции
                    А потом соединиться
                    Сейчас у Вас настройки re0 выглядят так

                    re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>

                    если все сделаете верно , то
                    RXCSUM и TXCSUM должны уйти из options

                    С 2 Replies Last reply Reply Quote 1
                    • P
                      pigbrother @Сергей Д.
                      last edited by

                      @Сергей-Д said in Не работает проброска портов 443,80:

                      и самое интересное если выполнять запросы с сайтов по проверки портов они доходят до 192.168.24.15

                      Как вы видите, что запросы доходят до 192.168.24.15?
                      Является ли PF шлюзом по умолчанию для 192.168.24.15?
                      Включен\настроен ли брандмауэр на 192.168.24.15?

                      С 1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by werter

                        Добрый.

                        @Сергей-Д

                        1. Перенести веб-морду пф на порты свыше 1024.
                        2. В Dest addr выбирать WAN addr. У вас там any (*)
                        3. Что шлюзом на проблемном сервере?
                        4. Вкл. ли фаерволл на проблем сервере?
                        5. Смотреть настройки и логи IIS.

                        Зы. Для HTTPS хватит только TCP.
                        Зы2. Скрины правил на ЛАН в студию.

                        1 Reply Last reply Reply Quote 0
                        • С
                          Сергей Д. @pigbrother
                          last edited by Сергей Д.

                          @pigbrother

                          • Через Wireshark

                          • Да

                          • Сверху же написано что в пределах локальной сети все (443,80) работает на ура

                          1 Reply Last reply Reply Quote 0
                          • С
                            Сергей Д. @Konstanti
                            last edited by

                            @Konstanti
                            ок попробую если сетевые интерфейсы не придется перенастраивать

                            1 Reply Last reply Reply Quote 0
                            • С
                              Сергей Д. @Konstanti
                              last edited by Сергей Д.

                              Спасибо всем за помощь, @Konstanti ваше решение подошло все заработало вам отдельная благодарность за помощь

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.