Raggiungere apparato nattato e forwadato



  • Penso non sia possibile ma provo a spiegare cosa vorrei realizzare. (In realtà spero di aver sbagliato semplicemente strada e cerco una mappa o 'un'indicazione… :D )

    Ho un modem che mi fornisce 8 IP pubblici. Su questo modem c'è un DVR collegato con uno degli IP pubblici e un pfSense (su un altro degli 8 IP) con dietro un altro DVR. Fatto il forwading risulta anch'esso raggiungibile da internet.
    Il problema è (era) che ci sono apparecchi (smartphone) che, se collegati tramite AP alla lan di pfsense, non raggiungono il secondo DVR (quello "forwadato"). Ho risolto impostando un record A sul dominio dove dvr2.dominio.it corrisponde all'IP pubblico di pfSense e impostando l'opportuno "host override" sul "DNS resolver" di pfsense. Gli smartphone puntano al dominio invece che all'IP e il sistema funziona.

    La domanda è: se mi trovassi in condizione di non poter impostare il record A del dominio ( in una situazione come quella descritta) posso "istruire" pfSense a fare in modo che richieste di accesso provenienti da apparati collegati alla LAN e dirette all'IP pubblico della WAN vengano "girate" ad un determinato IP della LAN (il DVR2 nel caso in questione)?

    ...in aggiunta, come faccio a "obbligare" gli utenti a utilizzare pfSense come DNS server (ad esempio per evitare che il "sistema a dominio" vada a "donne di facili costumi" se l'utilizzatore ha impostato (ad esempio) 8.8.8.8 come dns specifico?



  • Ciao,
    La risposta alla prima domanda è il nat reflection che si abilita in advanced

    La risposta alla seconda domanda è: una regola che blocca tutto il traffico diretto alla porta tcp/udp 53 fatta eccezione che per l'ip del firewall.

    Ciao Fabio