Port Forwarding IP von pfSense als Source weiterleiten



  • Hallo,

    ist es bei pfSense möglich wenn eine Portweiterleitung eingerichtet ist, dass der Zielserver als Source die interne IP von der pfSense bekommt.

    Bei der TMG von Microsoft gibt es bei einer Serververöffentlichung die Möglichkeit der Option "request appear to come from forefront TMG", somit erscheint als Source die interne IP vom TMG beim veröffentlichten Server.

    Problem: Ich hab mehrere Front Firewalls und eine Back Firewall mit einer klassischen DMZ. Wenn ich jetzt auch Dienste im LAN hinter der Back Firewall veröffentlichen möchte, benötige ich diese Funktion, da die Back Firewall natürlich als Standardgateway nur eine von den Front Firewalls eingetragen hat und somit Traffic der Serververöffentlichung von einer anderen Front Firewall nicht wieder über diese zurück geroutet werden würde, wenn als Source nicht die IP der jeweiligen Front Firewall sonder nur die Source des Clients im WAN angegeben werden würde.

    Müsste sonst noch einen Reverse Proxy in der DMZ installieren der das übernimmt, pfSense bietet hier nichts an oder?

    Grüße
    Marcus



  • Die Funktion, die du suchst, heißt bei pfSense Outbound NAT. Firewall > NAT > Outbound.

    Wenn das Outbound NAT noch im Automatik-Modus arbeitet, schalte erst auf Hybrid um und speicher das. Füge dann eine Regel hinzu:
    Interface: LAN, oder das dem Zielserver zugewandte
    Source: any
    Destination: <die Zielserver-IP>
    Dest. Port: <je nachdem, was du brauchst, oder eben any>
    Translation: Interface Address

    Möglicherweise lässt sich dein Problem auch anders lösen, aber die Sache mit mehreren Front-Firewalls verstehe ich nicht. Haben die alle ein gemeinsames internes Netz (DMZ)? Ist das Multi-WAN?
    Wenn aber die ursprüngliche IP am Zielserver nicht wichtig ist, ist die NAT Lösung eh passend.



  • Super, danke! Ja das geht, wenn auch mit der Einschränkung, dass ich als Destination keine einzelnen Hosts angeben kann.
    Ja die Firewalls haben alle eine gemeinsame DMZ. Der Grund für mehrere liegt in der großen Anzahl der öffentlichen IP Adressen/Subnetze. Mit nur einer wäre das ganze Regelwerk etwas unübersichtlich und auch alleine schon aus Wartungsgründen und Redundanz.



  • @marcus1302 said in Port Forwarding IP von pfSense als Source weiterleiten:

    Ja das geht, wenn auch mit der Einschränkung, dass ich als Destination keine einzelnen Hosts angeben kann.

    Kann man: Network wählen, IP eintragen, Maske /32.

    Ja, ist nicht gerade klar in der GUI ersichtlich.



  • super, danke!