NAT para uma rede não ligada diretamente ao servidor



  • Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
    Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
    Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

    Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

    Obrigado



  • Poste tuas regras de iptables que tu utilizava antes.



  • Na verdade, se não me engano, eu utilizava apenas isso:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx



  • @tiago2001:

    Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
    Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
    Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

    Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

    Obrigado

    O que vc quer dizer exatamente com "não está ligada diretamente ao firewall"?



  • @fernandofolha:

    @tiago2001:

    Preciso fazer um NAT para uma rede que não está diretamente ligada ao meu firewall.
    Tenho um ip externo (ligado no firewall): 191.241.xxx.xxx
    Rede Interna (ligado no firewall): 10.8.23.10 /24 (ligado no firewall) -> que conhece a rede 10.8.1.0/24

    Preciso quando chegar na porta do meu firewall, 191.241.xxx.xxx, seja direcionado para uma porta do IP 10.8.1.9. Com iptables eu fazia isso, utilizando DNAT e SNAT, no pfsense não sei.

    Obrigado

    O que vc quer dizer exatamente com "não está ligada diretamente ao firewall"?

    Deixa eu tentar explicar direito.

    Placas ligadas no servidor:
    191.241.xxx.xxx/29
    10.8.23.23/27 (rede interna do governo)
    192.168.1.1 (rede interna dos computadores)

    Existem tráfegos que só funcionam saindo por essa rede do governo.
    Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
    Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

    Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

    Consegui explicar?



  • Faz um diagrama desse teu cenário e posta aqui.

    Esse tópico abaixo também pode lhe ajudar.
    https://forum.pfsense.org/index.php?topic=103543.0



  • Pelo que entendi é só fazer um nat no pfsense que funciona.

    Se o ip publico esta conectado direto no pfsense e o pfsense enxerga o servidor 10.8.1.9 é só fazer um nat no firewall que tem que funcionar.

    Verifica no log do firewall se a requisição do trafego na porta necessária esta sendo bloqueada. Para facilitar marque para logar o trafego na regra do nat pois ai vc vai saber se o nat esta sendo feito ou não.



  • @Reinaldo:

    Pelo que entendi é só fazer um nat no pfsense que funciona.

    Se o ip publico esta conectado direto no pfsense e o pfsense enxerga o servidor 10.8.1.9 é só fazer um nat no firewall que tem que funcionar.

    Verifica no log do firewall se a requisição do trafego na porta necessária esta sendo bloqueada. Para facilitar marque para logar o trafego na regra do nat pois ai vc vai saber se o nat esta sendo feito ou não.

    O IP publico está ligado diretamente no servidor e enxerga o 10.8.1.9, mas este não está ligado diretamente ao servidor… A rede interna que está ligada diretamente no servidor funciona o NAT.



  • @empbilly:

    Faz um diagrama desse teu cenário e posta aqui.

    Esse tópico abaixo também pode lhe ajudar.
    https://forum.pfsense.org/index.php?topic=103543.0

    Fazendo o NAT do ip publico para minha rede interna funciona, para o 10.8.1.9 não vai.
    Numa VPN que tenho acontece o mesmo problema… As redes internas se enxergam, mas não consigo fazer o NAT também para chegar na VPN do outro lado




  • Poste as regras de NAT que tu ja tentou fazer.



  • @empbilly:

    Poste as regras de NAT que tu ja tentou fazer.

    Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
    Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
    10.8.23.23/27 –-------------- 10.8.23.74/27
    De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
    No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
    Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
    Exatamente o mesmo problema, com o linux também funcionava.

    O NAT fica assim:

    WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)



  • Ative o log nesta regra e verifica se o tráfego esta sendo redirecionando ou não.



  • @tiago2001:

    Na verdade, se não me engano, eu utilizava apenas isso:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Tiago, em relação a esse caso.

    Tente o seguinte. Vá para Firewall > NAT > Outbound e marque a opção manual. Explicação de o porque: https://forum.pfsense.org/index.php?topic=44116.msg228819#msg228819

    Crie a regra como segue em anexo.






  • @empbilly:

    @tiago2001:

    Na verdade, se não me engano, eu utilizava apenas isso:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp –dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Tiago, em relação a esse caso.

    Tente o seguinte. Vá para Firewall > NAT > Outbound e marque a opção manual. Explicação de o porque: https://forum.pfsense.org/index.php?topic=44116.msg228819#msg228819

    Crie a regra como segue em anexo.

    LAN seria a rede que conversa com o 10.8.1.9, certo? Se for isso, não funcionou.



  • Mude de LAN pra WAN.



  • @empbilly:

    Mude de LAN pra WAN.

    Coloquei a LAN que conhece a rede e a WAN que tento acesso, mas não funcionou



  • Tu tem rota estática configurada?

    Esse IP 191.241.xxx.xxx é tua WAN ou faz parte de uma network que tu utiliza no pretense?



  • Ola Ja tentou fazer rota Estatica?

    Vai em System -> Routing -> Static Routing

    Clique em ADD

    Destination network: Aqui voce coloca  o ip do Governo / a mascara

    Gateway  Seleciona a WAN do GOVERNO



  • @fabianofilhu:

    Ola Ja tentou fazer rota Estatica?

    Vai em System -> Routing -> Static Routing

    Clique em ADD

    Destination network: Aqui voce coloca  o ip do Governo / a mascara

    Gateway  Seleciona a WAN do GOVERNO

    Tenho sim, segue a rota.

    ![tela rota.png](/public/imported_attachments/1/tela rota.png)
    ![tela rota.png_thumb](/public/imported_attachments/1/tela rota.png_thumb)



  • @empbilly:

    Tu tem rota estática configurada?

    Esse IP 191.241.xxx.xxx é tua WAN ou faz parte de uma network que tu utiliza no pretense?

    Tenho sim, coloquei um print acima.



  • Esse IP 191.241.xxx.xxx é tua WAN ou faz parte de uma network que tu utiliza no pfsense?



  • Você não vai conseguir fazer NAT se essa rede 10 tiver outro gateway ou se ela for uma VPN.

    O ideal seria você trocar uma ideia com a pessoa que gerencia esse servidor que você quer redirecionar portas.



  • O dnat você configura no inbound nat do Pfsense e o snat você configura no outbound nat.