Проброс порта



  • Добрый день! Имеется необходимость стороннему сервису настроить подключение к AD с определённых IP по определённым портам. Пытаюсь открыть порт LDAP, но при сканере открытых портов - не находит его. Может кто может помочь



  • @Sventer said in Проброс порта:

    Добрый день! Имеется необходимость стороннему сервису настроить подключение к AD с определённых IP по определённым портам. Пытаюсь открыть порт LDAP, но при сканере открытых портов - не находит его. Может кто может помочь

    Тут все сказано. Проверьте по пунктам
    https://docs.netgate.com/pfsense/en/latest/nat/port-forward-troubleshooting.html



  • Спасибо, что откликнулись. Я правильно понимаю, что мне необходимо настроить правило в NAT, с автоматическим созданием в rules, правила для WAN?



  • Когда открываю, например, 22 порт - из вне сканируется и показывает, что открыт. Но если также пытаюсь открыть 389 порт - пишет, что порт закрыт и всё тут.



  • @Sventer said in Проброс порта:

    что мне необходимо настроить правило в NAT, с автоматическим созданием в rules, правила для WAN?

    Да, при создании port forward правило на WAN по умолчанию создается автоматически (см. Filter rule association при создании port forward).

    @Sventer said in Проброс порта:

    Но если также пытаюсь открыть 389 порт - пишет, что порт закрыт и всё тут.

    А из LAN порт доступен?

    @Sventer said in Проброс порта:

    подключение к AD с определённых IP

    Попробуйте кратковременно временно дать доступ с любых IP.

    Как вариант - провайдер может блокировать этот порт.



  • @pigbrother Настроено вроде по инструкции всё, но ответ приходит, что порт закрыт. Хотя если с 22 портом то же делаю, то всё нормально. Из Lan порт доступен на конечном сервере. Получается при отправке из вне прослушивания порта, на шлюз пакеты идут, но ответ приходит отрицательный.



  • @Sventer
    Брандмауэр, надеюсь, на целевом компьютере настроен\отключен для теста?
    А что, если предположить, что ответ на внешний IP запрещен некой групповой политикой на контроллере домена?



  • @pigbrother Я пробовал просто для всех IP открыть на WAN протокол LDAP без указания конечного адресата. Он всё равно пишет что порт закрыт.
    Если я из локалки проверю открытие этого порта на внешнем адресе, он кстати не показывает открытого порта.
    Я только осваиваю данный продукт, поэтому могу чего то недопонимать.



  • @pigbrother На домене порт LDAP открыт, если настраивать VPN через него, то всё работает. А вот так напрямую не хочет pfsense чего-то порт открывать.



  • @Sventer said in Проброс порта:

    Если я из локалки проверю открытие этого порта на внешнем адресе, он кстати не показывает открытого порта.

    Это без определенных усилий не будет работать.
    Попробуйте в
    System-Advanced-Firewall & NAT
    включить
    NAT Reflection mode for port forwards



  • @pigbrother Я конечно извиняюсь за большое количество вопросов, но там два варианта включения, какой из них выбрать? Версия PF 2.4.4



  • @Sventer said in Проброс порта:

    но там два варианта включения, какой из них выбрать

    Попробуйте оба.



  • @pigbrother Можно уточнить, так сказать просто азы: как мне открыть любой порт из вне для всех.
    К примеру, открыть ssh порт у меня получается. Но остальные стандартные нет. Нигде в PF нет настройки, отвечающей за открытие портов, помимо фаервола?



  • Включите лог для этого port forward.
    Затем смотрите в
    Status-System Logs-Firewall



  • @Sventer said in Проброс порта:

    как мне открыть любой порт из вне для всех.

    А как вы его ограничивали по IP? Если при создании port forward в Source ничего не указано - порт открыт для всех.



  • @pigbrother QIP Shot - Screen 004.png
    Я пытаюсь в начале просто открыть порт, например 636. На вкладке WAN задаю такое правило, выше только правила стандартные ограничения bogon сетей. При сканировании из вне белого IP на открытие данного порта, он показывает, что порт закрыт.



  • @Sventer said in Проброс порта:

    При сканировании из вне белого IP на открытие данного порта, он показывает, что порт закрыт.

    Это не будет работать. Если нет службы, отвечающей за порт 636 то и ответа не будет.



  • @pigbrother Службы на самом PF или же како-то устройства в локальной сети с открытой службой?



  • @Sventer said in Проброс порта:

    @pigbrother Службы на самом PF или же како-то устройства в локальной сети с открытой службой?

    Начинаются азы.
    Если просто правило на WAN - служба на pfSense. Если port forward - устройство в локальной сети с открытой службой.



  • @pigbrother Спасибо, что открыли новую для меня информацию. У меня возникает тогла следующий вопрос: где посмотреть или как добавить на PF службу ldap/ldaps? Чтобы для начала заработало просто правило на WAN.



  • @Sventer said in Проброс порта:

    где посмотреть или как добавить на PF службу ldap/ldaps?

    System-Package Manager-Available Packages
    Пакет freeradius2 - A free implementation of the RADIUS protocol. Supports MySQL, PostgreSQL, LDAP, Kerberos.
    Не использовал. По использованию комментариев не будет

    @Sventer said in Проброс порта:

    Чтобы для начала заработало просто правило на WAN.

    Port forfward это и есть правило на WAN + запись в таблице NAT.



  • @pigbrother Спасибо за помощь. Решил проблему.



  • @Sventer said in Проброс порта:

    Решил проблему

    В таких случаях принято сообщать об этом. Ну и в название темы добавить "Решено\Resolved"



  • Добрый.
    @Sventer

    Для работы AD необходимо открывать много портов:
    https://support.microsoft.com/en-us/help/832017/service-overview-and-network-port-requirements-for-windows
    https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts

    Зы. Оч. плохая идея открывать LDAP во вне. Даже LDAPS (TCP\636). Правильнее настроить туннель и работать через него.



  • @werter said in Проброс порта:

    Оч. плохая идея открывать LDAP во вне

    Согласен.
    Однако если это

    @Sventer said in Проброс порта:

    с определённых IP

    То более или менее.

    @werter said in Проброс порта:

    Правильнее настроить туннель и работать через него.

    Это, бесуловно, наилучший вариант.


Log in to reply