Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    port 443 wan to lan

    Scheduled Pinned Locked Moved Russian
    443
    18 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by werter

      @webnash
      Что шлюзом у машины, на к-ую 443 пробрасывается? Должен быть ip пф. Проверьте этот момент.

      Зы. Если нужен только https, то не надо udp пробрасывать - достаточно tcp.

      @Konstanti

      После создания правила
      pass in quick on $WAN reply-to ( vr0 х.х.х.х) inet proto { tcp udp } from any to х.х.х.х port 443
      tracker 1606228410 keep state label "USER_RULE"

      Из этой записи совершенно не ясно, белый ли ip у ТС на WAN.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @webnash
        Скрины правил fw + NAT покажите.
        И ответьте, какого типа ip у вас на ВАН.
        Зы. Есть ли ПЕРЕД пф еще что-то или пф напрямую смотрит в Инет?

        W 1 Reply Last reply Reply Quote 0
        • W
          webnash
          last edited by

          tcpdump -netti vr0 tcp a nd port 443
          tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
          listening on vr0, link-type EN10MB (Ethernet), capture size 262144 bytes
          1606307458.504141 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307459.517617 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307461.519017 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307465.520093 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307473.536208 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49820 > 193.178.229.130.443: Flags [S], seq 1613285965, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0

          tcpdump -netti rl0 tcp and port 443 and host 192.168.1.125
          tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
          listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
          1606307026.341908 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307027.358541 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307029.374555 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307033.387070 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
          1606307041.402891 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49781 > 192.168.1.125.443: Flags [S], seq 43989159, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0

          1 Reply Last reply Reply Quote 0
          • W
            webnash @werter
            last edited by

            @werter alt text

            1 Reply Last reply Reply Quote 0
            • W
              webnash @werter
              last edited by

              @werter alt text

              ip белый.
              Суть задачи в найтройке сервиса DirectAccess. Когда данная служба была поднята напрямую (без pf) все работало, но не было защиты никакой. Вот для защиты принято решение поставить pf, но пока что с ним не получается настроить.

              1 Reply Last reply Reply Quote 0
              • W
                webnash @Konstanti
                last edited by

                @Konstanti said in port 443 wan to lan:

                ТС правило показал )))
                и , судя по тому, что правило показанное взято из файла , это означает , что ТС понимает , что делает )))

                Спасибо что вы такого высокого мнения обо мне, но если бы я знал - я бы сам сделал, а так для меня это только второй опыт работы с pf, до этого на нем настраивал только openVPN и все.

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @webnash
                  last edited by

                  @webnash
                  У Вас сервер не отвечает на запросы .
                  Причин вижу 2

                  1. на сервере настроен файрвол
                  2. неверный расчет контрольных сумм tcp пакетов

                  /System/Advanced/Networking

                  34a2a9a9-4b72-4ec0-9563-a0cf1c511f21-image.png

                  1 Reply Last reply Reply Quote 0
                  • W
                    webnash
                    last edited by

                    @Konstanti said in port 443 wan to lan:

                    У Вас сервер не отвечает на запросы .
                    Причин вижу 2

                    на сервере настроен файрвол
                    неверный расчет контрольных сумм tcp пакетов

                    /System/Advanced/Networking

                    1-е - на сервере включен брандмауер, но в правилах 443 порт открыт.
                    2-е - данной галочки небыло, выставил.
                    Результат тот же.

                    tcpdump -netti vr0 tcp and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr0, link-type EN10MB (Ethernet), capture size 262144 bytes
1606309669.051196 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309670.063720 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309672.079763 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309676.079232 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309684.095497 00:0c:29:f9:6c:bb > 1c:af:f7:0e:aa:61, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 193.178.229.130.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
^C
5 packets captured
352 packets received by filter
0 packets dropped by kernel


                     tcpdump -netti rl0 tcp and port 443 and host 192.168.1.125
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
1606309669.051229 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309670.063737 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309672.079779 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309676.079248 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
1606309684.095518 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: 193.178.228.234.49888 > 192.168.1.125.443: Flags [S], seq 3125959832, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
^C
5 packets captured
99 packets received by filter
0 packets dropped by kernel
                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @webnash
                      last edited by Konstanti

                      @webnash
                      У Вас сервер не отвечает на SYN пакет . По какой причине , не знаю . Наиболее частые проблемы я Вам указал
                      Попробуйте использовать исходящий NAT на Lan интерфейсе , для пакетов идущих на 443 порту для 192.168.1.125
                      Отключите на время файрвол на сервере , посмотрите , не изменится что-нить ?
                      Какой шлюз по умолчанию у сервера ?

                      Покажите tcpdump на lan интерфейсе
                      tcpdump -v -netti rl0 ip and port 443 and host 192.168.1.125

                      1 Reply Last reply Reply Quote 0
                      • W
                        webnash
                        last edited by

                        Какой шлюз по умолчанию у сервера ? - на wan 193.178.229.129

                        tcpdump -v -netti rl0 ip and port 443 and host 192.168.1.125
                        tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 262144 bytes
                        1606310716.511773 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 124, id 56664, offset 0, flags [none], proto TCP (6), length 40)
                        34.65.223.42.34719 > 192.168.1.125.443: Flags [S], cksum 0x9d63 (correct), seq 2882345414, win 65535, length 0
                        1606310716.512166 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 124, id 54667, offset 0, flags [none], proto TCP (6), length 40)
                        34.65.223.42.34718 > 192.168.1.125.443: Flags [S], cksum 0x9d64 (correct), seq 2882345414, win 65535, length 0
                        1606310807.393032 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11233, offset 0, flags [DF], proto TCP (6), length 52)
                        193.178.228.234.49899 > 192.168.1.125.443: Flags [S], cksum 0x194b (correct), seq 1497158922, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                        1606310808.409039 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11234, offset 0, flags [DF], proto TCP (6), length 52)
                        193.178.228.234.49899 > 192.168.1.125.443: Flags [S], cksum 0x194b (correct), seq 1497158922, win 64240, options [mss 1240,nop,wscale 8,nop,nop,sackOK], length 0
                        1606310810.409560 00:00:21:e9:bd:88 > 18:31:bf:2d:b9:da, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 122, id 11235, offset 0, flags [DF], proto TCP (6), length 52)

                        Отключить фаервол - поставить галочку Disable Firewal? Но ведь оно так же отключит правила NAT/

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @webnash
                          last edited by Konstanti

                          @webnash
                          я про сервер ( c PF у Вас все в порядке )
                          он же не отвечает
                          опять же причин я вижу 2

                          1. у него шлюз по умолчанию не PF
                          2. файрвол на сервере блокирует пакеты
                            попробуйте использовать NAT исходящий включить на PF (lan интерфейс )
                            Попробуйте использовать исходящий NAT на Lan интерфейсе , для пакетов идущих на 443 порту для 192.168.1.125
                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by werter

                            @webnash

                            2020-11-26 17_08_37-port 443 wan to lan _ Netgate Forum - Vivaldi.png

                            Или на WAN 443 порт разрешайте или проброс 443-го делайте. Возможно только ОДНО.

                            1. Смените вебку пф на 8443.
                            2. Измените 443 на 8443 в 1-й строке.
                            3. Проверьте, что в кач-ве шлюза на 192.168.1.125. Должен быть лан ip пф.

                            Не увидел правил на ЛАН. Покажите.

                            Зы. За использование 192.168.0|1. нужно карать каторгой. Меняйте адресацию в сети.
                            Зы2. Не открывайте стандартные порты во вне - это дурной тон. Пользуйте ВПН.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.