Работает только первое правило NAT Port Forward



  • Имеем 3 интерфейса WAN1 интернет, LAN IP192.168.1.1, OPT1 IP192.168.0.80 (локальная сеть со своим шлюзом в интернет)
    Задача: Дать доступ из сети OPT1 к  LAN IP 192.168.1.80:1433 и IP 192.168.1.9:3389
    Интересная проблема работает только одно правило поставленное на первую строчку




  • Если я правильно понял, то OPT1 IP192.168.0.0 - это еще одна подсеть,  помимо LAN IP192.168.1.0  подключенная к pfSense?

    Тогда вам нужен не port forward, а правила на интерфейсах LAN и OPT1.

    Т.е правило вида

    IPv4 * OPT1 net * LAN net * * none

    Даст полный доступ из OPT1 net в  LAN net



  • В том то и дело не хочу ворота раскрывать полностью а только эти порты. Т.К там вирусня и неопытные пользователи сидят у них подсеть 192.168.0.0/24






  • Разрешающее правило я привел для примера.
    Создавайте свои правило по вкусу и грамотно их расставьте.
    Смысл - вам не нужен port forward.



  • Тогда как заставить из подсети 192.168.0.0/24 попасть на IP 192.168.1.80:1433 если у клиентов 192.168.0.0/24 шлюз по умолчанию 192.168.0.254/32 а не IP пфсенс 192.168.0.80  ? я понимаю этим заведает Port Forward



  • У вас, вероятно, ассиметричная маршрутизация со всеми ее радостями.
    http://iboxjo.livejournal.com/119034.html

    я понимаю этим заведает Port Forward
    Нет, задачи Port Forward иные - транслировать запросы на определенные порты с WAN на определенные порты заданных IP в LAN.



  • Сети 192.168.0.0/24 и 192.168.1.0/24 разделены физически тоесть Сеть 192.168.0.0/24 присоединена только через интерфейс OPT1 192.168.0.80/32



  • @Miles27:

    Сети 192.168.0.0/24 и 192.168.1.0/24 разделены физически тоесть Сеть 192.168.0.0/24 присоединена только через интерфейс OPT1 192.168.0.80/32

    А в чем смысл подключения 192.168.0.0/24 к pfSense? В интернет эта сеть выходит не через pfSense, а через свой шлюз.



  • В здании 2 провайдера и 2е разных локальных сетей которые по соображению безопасности разделены.
    Появилась надобность из подсети 192.168.0.0/24 заходить для получения отчётов с SQL server(это IP 192.168.1.80) и на удалённый рабочий стол (192.168.1.9) для этого и нужно открыть всего 2 порта.



  • @Miles27:

    В здании 2 провайдера и 2е разных локальных сетей которые по соображению безопасности разделены.
    Появилась надобность из подсети 192.168.0.0/24 заходить для получения отчётов с SQL server(это IP 192.168.1.80) и на удалённый рабочий стол (192.168.1.9) для этого и нужно открыть всего 2 порта.

    Если сети разделены, то открытие 2-х портов не поможет, нужно либо:
    1. Организовывать взаимные маршруты для этих сетей и разграничивать доступ правилами
    2. Заходить в нужную сеть со стороны WAN через Port Forward. WAN этой сети должен быть "белым"



  • Доброе
    Что в кач-ве роутера в др. сети ?



  • @werter:

    Доброе
    Что в кач-ве роутера в др. сети ?

    Отсутствует



  • Подумал, подумал и проблема решилась очень просто




  • Доброе.
    Последнее правило на скрине - ошибочно.



  • @werter:

    Доброе.
    Последнее правило на скрине - ошибочно.

    Согласен не корректно но рабочее, лень было проверять.

    Вот поправил и проверил всё работает




  • Доброе.
    Я бы не открывал в мир стандартные порты. Смените на что-то отстраненное (типа 34523).
    И используйте, где возможно, VPN. Это поможет сократить проброс 100500 портов до одного - для ВПН.



  • @werter:

    Доброе.
    Я бы не открывал в мир стандартные порты. Смените на что-то отстраненное (типа 34523).
    И используйте, где возможно, VPN. Это поможет сократить проброс 100500 портов до одного - для ВПН.

    Была бы корпаративная сеть так и сделал а для баловства и этого хватит.


Log in to reply