Pb configuration NAT et plus globalement FireWall "un peu trop" bloquant
-
Bonjour,
Au sein de mon entreprise, j'ai un PFSense derrière un Freebox Révolution. Je souhaite, pour un nouvel outil que je met en place, faire de la redirection de port.
Je ne peux pas configurer ma FREEBOX en Bridge pour diverses raisons, j'ai donc ouvert la DMZ sur l'adresse IP WAN du PFSense.
Ensuite pour valider mon ouverture de port, et vérifier que le parefeu fait bien ce que je lui demande, j'ai fait un test simple
J'ai créé une machine virtuelle sur un serveur sur laquelle j'ai paramétré le bureau a distance en le laissant volontairement sur le port 3389.
J'ai ensuite paramétré une règle NAT sur le PFSense qui dit
Interface: WAN
Protocole: TCP
Source: WAN Adress
Plage de Port source: 3389
Destination: LAN Adress
Plage de port destination: 3389
IP de redirection cible: Adresse IP de ma VM
Port de redirection cible: 3389J'essaye ensuite de vérifier mon ouverture de port avec https://www.yougetsignal.com/tools/open-ports/ en renseignant l'adresse IP publique de mon routeur et le port 3389
J'ai systématiquement le même message Port 3389 is closed on ....
Si je fais ce test avec une config globale identique sans le PFSense (juste une machine derrière le routeur FREEBOX), je n'ai aucun problème pour passer le Firewall de la BOX (bon je sais, c'est moins efficace que PFSense mais quand même.
J'avoue que là, je bloque et je continu à m'arracher les cheveux...., va finir pas plus m'en rester beaucoup, si quelqu'un a une idée, je suis preneur
Cordialement
-
(Pensez à suivre A LIRE EN PREMIER pour présenter correctement votre problème ...)
La méthode est surprenante : tester la redirection d'une box ? je ferais un test vers un serveur OpenVPN ou un serveur Web, mais jamais un serveur RDP/TSE/WDS parce qu'il ne faut jamais ouvrir un accès direct vers un tel type de serveur !!
Votre règle de NAT est incorrecte, et donc ne fonctionne pas et ne peut donner aucune information !
La bonne règle NAT est- le trafic 'any' vers 'WAN address', pour le proto donné, est redirigé vers l'ip du serveur cible (même proto).
Vous voyez bien que votre règle ne colle pas à ce que j'énonce.
Faites l'exercice d'écrire en français le règle que vous avez écrite, et vous verrez qu'elle est illogique et qu'elle ne fonctionne pas !
On déduit le réglage de la règle NAT (et on laisse pfSense créer automatiquement la règle WAN).NB : comme vous pensez la règle correcte, votre analyse est nécessairement incorrecte : quand on ne comprend pas, il faut remettre en cause ses certitudes !
-
Alors ? Où en êtes vous ?