Problemi con port forwarding e firewall rules



  • Ciao a tutti, ho un problema che non riesco a risolvere.
    IP wan 1.2.3.4
    IP server interno 192.168.1.11
    ho creato un port forwarding sulla wan in modo che le richieste fatte all'IP della wan sulla porta 3395 da any, vengano ridirette alla porta 3389 del 192.168.1.11 e aggiunto il corrispondente rule direttamante e in automatico dalla configurazione del nat.
    Ho provato da internet e il port forwardin funziona.
    Successivamente, volevo limitare l'accesso da internete e consentirlo ad un solo IP sorgente 6.7.8.9 e di conseguenza sono andato a modificare la rule che era stata creata in automatico durante la creazione del portforwarding.
    Non ho fatto altro che editare la rule mettendo come ip sorgente 6.7.8.9 al posto dell'asterisco.
    Stranamente l'accesso continua ad essere permesso a any! com'è possibile?



  • Ciao,
    ma la rule l'ha creata in automatico dalla regola di nat? Se si è impossibile che tu possa averla modificata poichè le regole create dal nat sono bloccate.
    Ad occhio hai 2 regole, una creata dal nat e una fatta a mano e probabilmente quella del nat viene prima di quella fatta a mano e quindi quest'ultima non ha effetto.
    Cancella tutto e riparti dal nat mettendo sul nat la limitazione.

    Ciao Fabio



  • se posso permettermi… un piccolo suggerimento, relativa alla sicurezza.
    Evita di fare nat di servizi pubblici su internet, in macchine, che sono sulla stessa rete LAN dei tuoi pc e/o server ad uso interno.
    Se ti bucano la macchina, poi la usano come cavallo di troia per vedere tutte le macchina nella tua rete interna.
    Piuttosto fai una vlan DMZ (meglio se puoi dedicargli una porta fisica del pfsense e fai una untagged lan negli switch) e mettici la macchina con i servizi pubblici, poi permetti DMZ->WAN, le varie nat frà i servizi WAN-DMZ, infine concedi a LAN->DMZ ma non viceversa, in modo da isolare verso lan la macchina con i servizi pubblici.


Log in to reply