Не работает проброска портов 443,80



  • Не могу понять почему нет работает проброска порта HTTPS 443 на хост 192.168.24.15 (на хосте установлен IIS) , настройки Firewall делал с особой внимательностью а толку нет.

    Настройки NAT https://yadi.sk/i/_tvGGsr-Zbwe-Q
    alt text
    Настройки Rules https://yadi.sk/i/etbUitAoRKqvFg
    alt text
    А это состояния хоста 192.168.24.15 при запросе к нему по внешнему IP через WAN на 443 порт (IIS). В пределах локальной сете все работает, на 443 все поступает и обрабатывается https://yadi.sk/i/cYfQQLnpskJVfg
    alt text

    Что я упустил, почему не работает???



  • @Сергей-Д
    Здр
    Картинки очень плохого качества
    Но
    Проброс 80 порта на хост 192.168.24.15 работает ( по крайней мере , снаружи вовнутрь, обратно не знаю)
    С пробросом 443 порта какая-то каша
    По правилам NAT Вы пробрасываете любой порт источника TCP/UDP на нужный Вам хост.
    По правилам файрвола появляются порты источника 5000-6000 (опять же видно, что тут проброс работает , обратные пакеты не знаю)

    Покажите вывод команды
    ifconfig -m

    Предположительно (но это мое мнение) , проблема в контрольных суммах tcp пакетов ( такое бывает , если используется PF на виртуальное машине или используется сетевая Realtek)



  • @Konstanti said in Не работает проброска портов 443,80:

    ifconfig -m

    извиняюсь за картинки я их на яндекс выложил в виде ссылок

    ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
            options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
            capabilities=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
            ether 00000000000000
            hwaddr 00000000000000
            inet6 fe80::9ade:d0ff:fe00:865d%ste0 prefixlen 64 scopeid 0x1
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
            media: Ethernet autoselect (100baseTX <full-duplex>)
            status: active
            supported media:
                    media autoselect
                    media 100baseTX mediaopt full-duplex
                    media 100baseTX
                    media 10baseT/UTP mediaopt full-duplex
                    media 10baseT/UTP
                    media none
    re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
            options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
            capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>
            ether 00000000000000
            hwaddr 00000000000000
            inet6 fe80::1a31:bfff:fe29:a0e9%re0 prefixlen 64 scopeid 0x2
            inet 192.168.24.5 netmask 0xffffff00 broadcast 192.168.24.255
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
            media: Ethernet autoselect (100baseTX <full-duplex>)
            status: active
            supported media:
                    media autoselect mediaopt flowcontrol
                    media autoselect
                    media 1000baseT mediaopt full-duplex,flowcontrol,master
                    media 1000baseT mediaopt full-duplex,flowcontrol
                    media 1000baseT mediaopt full-duplex,master
                    media 1000baseT mediaopt full-duplex
                    media 100baseTX mediaopt full-duplex,flowcontrol
                    media 100baseTX mediaopt full-duplex
                    media 100baseTX
                    media 10baseT/UTP mediaopt full-duplex,flowcontrol
                    media 10baseT/UTP mediaopt full-duplex
                    media 10baseT/UTP
                    media none
    enc0: flags=0<> metric 0 mtu 1536
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
            groups: enc
    lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
            options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
            capabilities=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
            inet 127.0.0.1 netmask 0xff000000
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
            groups: lo
    pflog0: flags=100<PROMISC> metric 0 mtu 33160
            groups: pflog
    pfsync0: flags=0<> metric 0 mtu 1500
            groups: pfsync
            syncpeer: 224.0.0.240 maxupd: 128 defer: on
            syncok: 1
    pppoe1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
            inet 94.75.135.161 --> 94.75.128.1 netmask 0xffffffff
            inet6 fe80::9ade:d0ff:fe00:865d%pppoe1 prefixlen 64 scopeid 0x7
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    
    

    и самое интересное если выполнять запросы с сайтов по проверки портов они доходят до 192.168.24.15



  • @Сергей-Д
    У Вас на lan порту карта Realtek
    попробуйте сделать так

    из консоли
    ifconfig re0 -rxsum -txsum

    заработает ?



  • @Konstanti said in Не работает проброска портов 443,80:

    ifconfig re0 -rxsum -txsum

    ifconfig: -rxsum: bad value



  • @Сергей-Д
    а так ?

    System/Advanced/Networking

    bb573f9e-db33-40c6-9cc4-50f73f0de2ab-image.png



  • @Konstanti
    А он предупреждает о необходимости перезагрузки и перенастройки интерфейса, это так



  • @Сергей-Д
    Возможно
    Попробуйте без перезагрузки выставить эти опции
    А потом соединиться
    Сейчас у Вас настройки re0 выглядят так

    re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
            options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
            capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>
    

    если все сделаете верно , то
    RXCSUM и TXCSUM должны уйти из options



  • @Сергей-Д said in Не работает проброска портов 443,80:

    и самое интересное если выполнять запросы с сайтов по проверки портов они доходят до 192.168.24.15

    Как вы видите, что запросы доходят до 192.168.24.15?
    Является ли PF шлюзом по умолчанию для 192.168.24.15?
    Включен\настроен ли брандмауэр на 192.168.24.15?



  • Добрый.

    @Сергей-Д

    1. Перенести веб-морду пф на порты свыше 1024.
    2. В Dest addr выбирать WAN addr. У вас там any (*)
    3. Что шлюзом на проблемном сервере?
    4. Вкл. ли фаерволл на проблем сервере?
    5. Смотреть настройки и логи IIS.

    Зы. Для HTTPS хватит только TCP.
    Зы2. Скрины правил на ЛАН в студию.



  • @pigbrother

    • Через Wireshark

    • Да

    • Сверху же написано что в пределах локальной сети все (443,80) работает на ура



  • @Konstanti
    ок попробую если сетевые интерфейсы не придется перенастраивать



  • Спасибо всем за помощь, @Konstanti ваше решение подошло все заработало вам отдельная благодарность за помощь


Log in to reply