Problème transfert de port - Novice sur Pfsense



  • Je viens de faire l'acquisition d'un boitier FUJITSU AMD G-T40N avec trois ports réseaux.

    J'ai installé la dernière version de pfsense

    2.4.4-RELEASE-p2 (amd64)
    Basé sur Wed Dec 12 07:40:18 EST 2018
    FreeBSD 11.2-RELEASE-p6

    Contexte : Utilisation à titre personnel, derrière une Freebox V6 en mode bridge avec une IP fixe

    Besoin : Je besoin de faire du transfert de port, actuellement, j'utilise un edgerouter avec lequel je fais du transfert de port avec du nat, mais je souhaite passer sur pfsense

    Schéma :

    Interface n°1 : WAN (1er port intégré à la carte mère) avec l'ip fixe de free.
    Interface n°2 : LAN ((1er port de la carte PCI supplémentaire)) avec l'ip 192.168.0.1 (sur laquelle j'ai branché mon switch)
    Interface n°3 : OPT1 ((2ème port de la carte PCI supplémentaire) sans ip défini pour l'instant

    WAN (modem/routeur/box) : Freebox V6 en IP Fixe, Pfsense configurer en DHCP Ipv 4 & 6

    LAN : nombre --> 1
    vlan --> 0
    dhcp server (Pfsense) 192.168.0.0/24 avec les DNS de free et google

    DMZ : Aucune pour le moment

    WIFI : Idenpendant, ubiquiti

    Règles NAT : forward.

    0_1547563292376_353211ce-97e1-43d4-9235-096e1729d12f-image.png

    Règles Firewall : Isue des règles Nat

    0_1547563324021_f1e0e24b-09ea-431c-9a47-d62f67fb9808-image.png

    Packages ajoutés : Aucuns

    Autres fonctions assignées au pfSense : Aucunes pour le moment

    Question : Les transferts de port que je viens de faire ne fonctionnent pas, je n'ai pas accès depuis l'exterieur, pourtant j'ai suivis plusieurs tuto, à moins que j'ai mal fait que chose

    J'ai essayé plusieurs configuration du transfert de port, mais rien.

    Merci de m'indiquer si vous avez besoin de plus d'informations, j'ai essayé de renseigner ce poste au mieux.

    Merci pour votre support



  • (C'est bien d'avoir suivi le formulaire pour présenter votre problème. A continuer ...)

    Vous avez noté qu'il suffit de rédiger une règle dans NAT > Port Forward pour qu'une règle se créé automatiquement dans WAN. Il faut garder à l'esprit que l'on modifie seulement la règle créé dans NAS > Port Forward, et que l'on ne touche pas celle dans WAN !

    Cela ne fonctionne pas comme attendu, et ... c'est 'normal' !

    Par méconnaissance, vos règles NAT > Port Forward précise le port source, ce qui n'est pas correct : seul le port destination est nécessaire !

    Exemple un trafic http se caractérise par

    • ip destination = ip serveur
    • port destination = 80
    • protocole = TCP
      Mais le port source est totalement variable (et >1024 en principe) : il ne peut en aucun cas être lui-aussi 80 !
      Pour votre trafic c'est la même chose.


  • Bonsoir Jdh,

    Merci pour cette réponse, j'ai donc modifié mes fordward comme ci-dessous

    0_1547574355923_c10bce59-7ace-4219-a78d-c32d572df9c6-image.png

    Mais bizarrement je n'ai que le port 10001 qui passe pour faire mes tests j'utilise le site https://www.yougetsignal.com/tools/open-ports/, les trois autres sont toujours close.



  • @karibou
    Bonne nuit
    Vous pouvez utiliser tcpdump (diagnostics/packet capture) pour localiser le problème
    Par exemple ,
    Interface lan
    Protocol any
    Port 12345
    Host 192.168.0.8
    Nous vérifions s'il y a des paquets à 192.168.0.8
    Et s'il leur répond
    Et je ne suis pas sûr que ce test fonctionne correctement
    Il montre les ports TCP ouverts et udp montre que fermé



  • Une capture de trame sur Pfsense vous renseignera certe, tout comme les logs après les avoir activé sur les règles.



  • J'ai activé les logs sur la règle ouvrant le port 12345

    Voici ce que j'ai

    0_1547586260580_e93916ca-e000-4dce-bfcc-eac1fc9f5272-image.png

    Ainsi que la capture

    22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
    22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
    22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
    22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
    22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
    22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0



  • @karibou Tout est bon
    cela montre que les paquets ont passé l'interface wan
    Nous devons comprendre ce qui se passe ensuite
    Montrez-moi ce que packet capture montre (lan interface)



  • Voici la capture réseau

    22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
    22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
    22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
    22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
    22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
    22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0



  • @karibou C'est packet capture de WAN interface
    et je suis intéressé par l'interface lan



  • @konstanti

    22:11:09.127496 IP 198.199.98.246.59206 > 192.168.0.8.12345: tcp 0
    22:11:09.157412 IP 192.168.0.8.12345 > 198.199.98.246.59206: tcp 0
    22:11:10.325845 IP 198.199.98.246.59208 > 192.168.0.8.12345: tcp 0
    22:11:10.329772 IP 198.199.98.246.59216 > 192.168.0.8.12345: tcp 0
    22:11:10.356334 IP 192.168.0.8.12345 > 198.199.98.246.59208: tcp 0
    22:11:10.356398 IP 192.168.0.8.12345 > 198.199.98.246.59216: tcp 0
    22:11:12.212882 IP 198.199.98.246.59222 > 192.168.0.8.12345: tcp 0
    22:11:12.243176 IP 192.168.0.8.12345 > 198.199.98.246.59222: tcp 0
    22:11:12.413729 IP 198.199.98.246.59223 > 192.168.0.8.12345: tcp 0
    22:11:12.414037 IP 192.168.0.8.12345 > 198.199.98.246.59223: tcp 0
    22:11:12.599016 IP 198.199.98.246.59224 > 192.168.0.8.12345: tcp 0
    22:11:12.629271 IP 192.168.0.8.12345 > 198.199.98.246.59224: tcp 0



  • @karibou out va bien, le port 12345 fonctionne
    L'hôte 192.168.0.8 répond



  • @karibou Et une autre question
    La connexion Internet fonctionne bien ?
    Sans problème ?



  • @konstanti

    Je pense oui

    0_1547587111914_05cab51a-a35b-4d5d-b985-07e637a9329b-image.png



  • @karibou Je suis intéressé par la question
    Tous les sites ont-ils accès à partir d'un réseau lan ?



  • @konstanti
    En fait ce ne sont pas des sites, c'est pour piloter mon alarme à distance :-)
    Quand je remet mon edgerouter ubiquiti cela fonctionne.
    Et quand je suis en local sur le même Lan cela fonctionne également



  • @karibou
    Ça va
    Essayez de le faire
    system/advanced/networking/
    0_1547587633054_de5593f8-c8ea-4fe3-a4b5-44c1c0121a78-image.png



  • @konstanti Pas mieux :-(

    Ce qui est bizare c'est la règle sur le port 10001 fonctionne, mais pas les trois autres



  • @karibou Alors j'ai besoin d'un fichier PacketCapture ( download capture )

    et plus diagnostics / command prompt / execute shell command /
    ifconfig -m



  • @konstanti
    PacketCaptur sur le lan ?



  • @karibou Oui



  • @konstanti
    J'envois le download capture par mp



  • @karibou qu'est-ce que "mp"? ))
    Envoyez-moi le fichier par e-mail
    konstanti197@gmail.com
    Et montrez la sortie de la commande " ifconfig-m"



  • @konstanti

    Pardon MP == Message personnel
    0_1547589119460_ifconfig -m.txt



  • @karibou
    Voici ce que je vois
    Pour une raison inconnue, 192.168.0.8 réinitialise la connexion
    Êtes-vous sûr que 192.168.0.8 utilise le port 12345 ?

    0_1547589194883_e81a7dac-4dc0-4e71-bbea-59f892e6bcbe-image.png

    Pourquoi TCP RST envoyé immédiatement après SYN?
    La raison peut être aussi un peu. Cela signifie généralement que le port sur lequel vous essayez d'ouvrir la connexion n'est pas disponible. Le serveur est désactivé, le serveur est occupé ou ce port est fermé. Par conséquent, SYN est réinitialisé et c'est tout.