PfSense: настройка межсетевого экрана
-
А к стати, в правилах параметр "назначение" правильно указан?
-
@Konstanti said in PfSense: настройка межсетевого экрана:
@zabiyako Читайте документацию на tcpdump
запускайте его на lan интерфейсе pf (порт , к примеру 80 ) хост назначения видеорегистратор и смотрите , что происходит в момент установления соединения...это на досуге. Сейчас времени нет. Кровь из носу, в кротчайший срок необходимо "найти" видеосигнал.
-
@Konstanti said in PfSense: настройка межсетевого экрана:
@zabiyako
Пункт 1 в ссылке был указан , чтобы создать 1 алиас для группы портов
чтобы Вам жизнь облегчить
Остается пункт 4
Так визуально проброс сделан верно
Теперь покажите правила файрвола на WAN интерфейсе
Если у Вас работает проброс , к примеру , на 1с сервер
то должно и работать на видеорегистратор
тут все аналогично
покажите правила файрвола на wan интерфейсеТ.е. можно было обойтись одной записью в диапазоне портов 80:6036? Как в первом пункте, так и в пробросах портов? А правило автоматически ассоциируется с записью?
-
@zabiyako Если создадите алиас , то PF сам "разложит" правила по портам как надо на основе этого алиаса
Насчет , на досуге ... Я Вам говорю про инструмент, который поможет Вам локализовать проблему и понять , где идет потеря пакетов .
Подсказать Вам как действовать никто тут не сможет
Для этого надо знать и конфигурацию оборудования и топологию сети , как минимум -
This post is deleted! -
Может не самая явная ситуация... а IP то белый?
-
@borg said in PfSense: настройка межсетевого экрана:
Может не самая явная ситуация... а IP то белый?
IP выделен провайдером для юр. лица.
-
tcpdump -i igb0 -nnn host 1.1.1.1
где igb0 - wan интерфейс
1.1.1.1 - ip клиента -
@borg Судя по размеру пакета в 40 байт , дальше SYN пакета дело не двигается
и я бы рекомендовал ТС tcpdump запустить на lan интерфейсе , чтобы увидеть уходят ли пакеты к регистратору и отвечает ли он на них
Но на wan тоже можно
Один вопрос - Вы уверены , что у ТС интеловская сетевая карта ? -
@Konstanti это был пример, я думаю это очевидно что нужно подставлять свои параметры.. не думаю что у ТСа есть возможность подключиться с dns cf :)
-
igb0 - wan интерфейс - имеется в виду внешний IP?
1.1.1.1 - ip pfSense?извините, я не селен в терминологии..
-
@zabiyako igb0 это имя интерфейса, который смотрит в интернет, 1.1.1.1 это ip, от которого пытаетесь попасть на видеорегистратор
И вкладку LAN тоже будьте добры, может банально запрет/нет разрешения взаимодействовать с wan из-под lan -
@borg Тогда я бы лично немного подкорректировал бы команду
tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80название интерфейса можно узнать командой ifconfig или в меню /status/interfaces
например ,
igb1 , em1, re1 и тд и тп -
@Konstanti said in PfSense: настройка межсетевого экрана:
@borg Тогда я бы лично немного подкорректировал бы команду
tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80название интерфейса можно узнать командой ifconfig или в меню /status/interfaces
например ,
igb1 , em1, re1 и тд и тптак и указывать "(lan, em1)"?
-
@zabiyako
покажите вывод команды ifconfig -m
так будет проще
tcpdump -i em1 - это ответ на Ваш вопрос -
@zabiyako Судя по всему
Вам надо такую команду выполнить
tcpdump -i em1 tcp and host 192.168.1.18 and port 80и пробовать установить соединение извне
и показать , что получилось -
@zabiyako said in PfSense: настройка межсетевого экрана:
IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.
Проверяете ИЗВНЕ (с телефона, напр.) ? Или долбитесь на внешние порты из этой же ЛАН?
Т.е. можно было обойтись одной записью в диапазоне портов 80:6036?
Не надо так делать. Это ОЧ. БОЛЬШОЙ диапазон. Нужно ТОЧНО определить, КАКИЕ порты пользует ваш DVR.
У вас сколько DVR?
Покажите скрины настроек правил fw LAN, WAN , Port forward.
-
Ребята, огромное спасибо всем за участие! Извините что пропал, очень занят был. Завтра все попробую, и отпишусь.
-
@werter said in PfSense: настройка межсетевого экрана:
@zabiyako said in PfSense: настройка межсетевого экрана:
IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.
Проверяете ИЗВНЕ (с телефона, напр.) ? Или долбитесь на внешние порты из этой же ЛАН?
Т.е. можно было обойтись одной записью в диапазоне портов 80:6036?
Не надо так делать. Это ОЧ. БОЛЬШОЙ диапазон. Нужно ТОЧНО определить, КАКИЕ порты пользует ваш DVR.
У вас сколько DVR?
Покажите скрины настроек правил fw LAN, WAN , Port forward.
-
@zabiyako что показывает tcpdump ????
