Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    port 443 wan to lan

    Scheduled Pinned Locked Moved Russian
    443
    18 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @webnash
      last edited by

      @webnash
      Тогда включайте tcpdump на lan и wan интерфейсах одновременно и смотрите ,что происходит в момент проброса порта
      можете показать вывод tcpdump-а на lan интерфейсе ?
      для wan интерфейса
      tcpdump -netti vr0 tcp and port 443

      для lan интерфейса
      tcpdump -netti <название сетевой карты на lan интерфейсе> tcp and port 443 and host <ip адреса хоста , куда идет проброс>

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @webnash
        На ВАН - белый ip?
        Скрины правил fw покажите.

        @Konstanti
        Вы лучше меня разбираетесь в сетях, но опять начинаете со сложного )

        K W 2 Replies Last reply Reply Quote 0
        • K
          Konstanti @werter
          last edited by Konstanti

          @werter
          ТС правило показал )))
          и , судя по тому, что правило показанное взято из файла , это означает , что ТС понимает , что делает )))
          поэтому я тут особой засады не вижу
          Я просто хочу понять , в какой момент затык возникает .
          а на счет сетей - кто больше знает - вопрос спорный ))) я уже давно в этой теме , начинал еще с администрирования Novell Netware 3.1, IBM OS/2 . Видел , как Linux рождался в начале 90-х
          Потом ушел из администраторов . Сейчас это больше хобби ) Поэтому пробелов в знаниях больше чем достаточно

          W 1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by werter

            @webnash
            Что шлюзом у машины, на к-ую 443 пробрасывается? Должен быть ip пф. Проверьте этот момент.

            Зы. Если нужен только https, то не надо udp пробрасывать - достаточно tcp.

            @Konstanti

            После создания правила
            pass in quick on $WAN reply-to ( vr0 х.х.х.х) inet proto { tcp udp } from any to х.х.х.х port 443
            tracker 1606228410 keep state label "USER_RULE"

            Из этой записи совершенно не ясно, белый ли ip у ТС на WAN.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by werter

              @webnash
              Скрины правил fw + NAT покажите.
              И ответьте, какого типа ip у вас на ВАН.
              Зы. Есть ли ПЕРЕД пф еще что-то или пф напрямую смотрит в Инет?

              W 1 Reply Last reply Reply Quote 0
              • W
                webnash
                last edited by

                tcpdump -netti vr0 tcp a nd port 443
                tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                listening on vr0, link-type EN10MB (Ethernet), capture size 262144 bytes
                1606307458.504141 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307459.517617 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307461.519017 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307465.520093 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307473.536208 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0

                tcpdump -netti rl0 tcp and port 443 and host 192.168.1.125
                tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
                1606307026.341908 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307027.358541 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307029.374555 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307033.387070 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                1606307041.402891 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0

                1 Reply Last reply Reply Quote 0
                • W
                  webnash @werter
                  last edited by

                  @werter alt text

                  1 Reply Last reply Reply Quote 0
                  • W
                    webnash @werter
                    last edited by

                    @werter alt text

                    ip белый.
                    Суть задачи в найтройке сервиса DirectAccess. Когда данная служба была поднята напрямую (без pf) все работало, но не было защиты никакой. Вот для защиты принято решение поставить pf, но пока что с ним не получается настроить.

                    1 Reply Last reply Reply Quote 0
                    • W
                      webnash @Konstanti
                      last edited by

                      @Konstanti said in port 443 wan to lan:

                      ТС правило показал )))
                      и , судя по тому, что правило показанное взято из файла , это означает , что ТС понимает , что делает )))

                      Спасибо что вы такого высокого мнения обо мне, но если бы я знал - я бы сам сделал, а так для меня это только второй опыт работы с pf, до этого на нем настраивал только openVPN и все.

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @webnash
                        last edited by

                        @webnash
                        У Вас сервер не отвечает на запросы .
                        Причин вижу 2

                        1. на сервере настроен файрвол
                        2. неверный расчет контрольных сумм tcp пакетов

                        /System/Advanced/Networking

                        34a2a9a9-4b72-4ec0-9563-a0cf1c511f21-image.png

                        1 Reply Last reply Reply Quote 0
                        • W
                          webnash
                          last edited by

                          @Konstanti said in port 443 wan to lan:

                          У Вас сервер не отвечает на запросы .
                          Причин вижу 2

                          на сервере настроен файрвол
                          неверный расчет контрольных сумм tcp пакетов

                          /System/Advanced/Networking

                          1-е - на сервере включен брандмауер, но в правилах 443 порт открыт.
                          2-е - данной галочки небыло, выставил.
                          Результат тот же.

                          tcpdump -netti vr0 tcp and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr0, link-type EN10MB (Ethernet), capture size 262144 bytes
1606309669.051196 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309670.063720 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309672.079763 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309676.079232 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309684.095497 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
^C
5 packets captured
352 packets received by filter
0 packets dropped by kernel


                           tcpdump -netti rl0 tcp and port 443 and host 192.168.1.125
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
1606309669.051229 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309670.063737 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309672.079779 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309676.079248 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309684.095518 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
^C
5 packets captured
99 packets received by filter
0 packets dropped by kernel
                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @webnash
                            last edited by Konstanti

                            @webnash
                            У Вас сервер не отвечает на SYN пакет . По какой причине , не знаю . Наиболее частые проблемы я Вам указал
                            Попробуйте использовать исходящий NAT на Lan интерфейсе , для пакетов идущих на 443 порту для 192.168.1.125
                            Отключите на время файрвол на сервере , посмотрите , не изменится что-нить ?
                            Какой шлюз по умолчанию у сервера ?

                            Покажите tcpdump на lan интерфейсе
                            tcpdump -v -netti rl0 ip and port 443 and host 192.168.1.125

                            1 Reply Last reply Reply Quote 0
                            • W
                              webnash
                              last edited by

                              Какой шлюз по умолчанию у сервера ? - на wan 193.178.229.129

                              tcpdump -v -netti rl0 ip and port 443 and host 192.168.1.125
                              tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
                              1606310716.511773 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 124, id 56664, offset 0, flags [none], proto TCP (6), length 40)
                              34.65.223.42.34719 > 192.168.1.125.443: Flags [S], cksum 0x9d63 (correct), seq 2882345414, win 65535, length 0
                              1606310716.512166 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 124, id 54667, offset 0, flags [none], proto TCP (6), length 40)
                              34.65.223.42.34718 > 192.168.1.125.443: Flags [S], cksum 0x9d64 (correct), seq 2882345414, win 65535, length 0
                              1606310807.393032 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11233, offset 0, flags [DF], proto TCP (6), length 52)
                              193.178.228.234.49899 > 192.168.1.125.443: Flags [S], cksum 0x194b (correct), seq 1497158922, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                              1606310808.409039 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11234, offset 0, flags [DF], proto TCP (6), length 52)
                              193.178.228.234.49899 > 192.168.1.125.443: Flags [S], cksum 0x194b (correct), seq 1497158922, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                              1606310810.409560 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11235, offset 0, flags [DF], proto TCP (6), length 52)

                              Отключить фаервол - поставить галочку Disable Firewal? Но ведь оно так же отключит правила NAT/

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @webnash
                                last edited by Konstanti

                                @webnash
                                я про сервер ( c PF у Вас все в порядке )
                                он же не отвечает
                                опять же причин я вижу 2

                                1. у него шлюз по умолчанию не PF
                                2. файрвол на сервере блокирует пакеты
                                  попробуйте использовать NAT исходящий включить на PF (lan интерфейс )
                                  Попробуйте использовать исходящий NAT на Lan интерфейсе , для пакетов идущих на 443 порту для 192.168.1.125
                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by werter

                                  @webnash

                                  2020-11-26 17_08_37-port 443 wan to lan _ Netgate Forum - Vivaldi.png

                                  Или на WAN 443 порт разрешайте или проброс 443-го делайте. Возможно только ОДНО.

                                  1. Смените вебку пф на 8443.
                                  2. Измените 443 на 8443 в 1-й строке.
                                  3. Проверьте, что в кач-ве шлюза на 192.168.1.125. Должен быть лан ip пф.

                                  Не увидел правил на ЛАН. Покажите.

                                  Зы. За использование 192.168.0|1. нужно карать каторгой. Меняйте адресацию в сети.
                                  Зы2. Не открывайте стандартные порты во вне - это дурной тон. Пользуйте ВПН.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.