Webserver erreichen die mit externer IP in die DMZ genattet werden


  • Hallo Zusammen,

    irgendwo mach ich anscheinend einen Denkfehler.
    Ich habe in DMZ Netz.

    Dieses wird per externe IP (ca. 30 Stück) erreicht.

    z.b.

    212.44.66.123 -> 1:1NAT -> 10.1.255.11
    Rule auch passend angelegt für Port 80

    von extern kann ich die webseite aufrufen. von intern (LAN) kann ich sie nur über 10.1.255.11 aufrufen, jedoch nicht über die top-level-domain die auf die 212….. IP zeigt.

    Was mach ich falsch?

    Danke und Gruß
    Stefan



  • Danke für die schnelle Antwort, leider habe ich diese Funktion schon ausprobiert. Nach der Deaktivierung konnte ich immer noch nicht drauf zugreifen…


  • NAT reflection funktioniert ja auch nicht mit 1:1 NAT.

    In order to do this, you must go to System > Advanced, and from there uncheck "Disable NAT Reflection". Click save, and it should work. This will only work with single port forwards or ranges of less than 500 ports. If you're using 1:1 NAT, you can't use NAT Reflection.

    (Ich hab den wiki Eintrag gerade bearbeitet, so dass das weiter oben steht.
    Es ist sonst erst unter Punkt 3 bei der experimentellen Lösung gestanden.)


  • Okay, probiere ich aus. Kurze Verständnisfrage:

    ich kann aber 2 parallele Nats auf eine interne DMZ IP machen oder ?
    z.b.:

    212.44.66.123 -> NAT TCP 80 -> 10.1.255.11
    und
    212.44.66.123 -> NAT TCP 8000 -> 10.1.255.11

    oder gibt es dort was zu beachten?

    Wenn ich unter 500 Port-Nattings bleibe kann ich die oben beschriebene Lösung anwenden oder?
    Wieso wird dies auf 500 Ports beschränkt?

    Danke und Gruß
    Stefan


  • Hast du die ganze Wikipage gelesen oder nach Lösung 1 aufgehört?
    Wieso willst du unbedingt NAT reflection verwenden?
    Die Split-DNS Lösung ist viel eleganter ;)

    Ja mehrere parallele NAT Regeln sind möglich, solange sie sich nicht gegenseitig stören.
    Die Limite auf die du ansprichst bezieht sich nicht auf "maximal 500 Regeln möglich", sondern das in einer einzelnen Regel keine Portrange grösser 500 verwendet werden darf.

    Also bsp:
    212.44.66.123 -> NAT TCP 1000-1099 -> 10.1.255.11
    ok da die Portrange 100 Ports gross ist (<500)

    212.44.66.123 -> NAT TCP 2000-2999 -> 10.1.255.11
    nicht ok da die Portrange 1000 Ports gross ist (>500)


  • Dankeschön!

    Nein, ich habe schon alles brav gelesen ;-) Nur wir haben interne regelungen die einen neuen nameserver sprich die pfsense nicht erlaubt. daher muss ich nach alternativen suchen mit der ich das natting umsetzen kann…

    Aber soweit hilft mich das schon weiter!!


  • Wenn du weiterhin 1:1 NAT benutzen willst, kannst du auch einfach über das 1:1 NAT noch ein normales forwarding machen.
    1:1 > normal
    Damit erreichst du, dass eine redirect Regel für den entsprechenden Port eingerichtet wird, aber trotzdem noch das alte 1:1 verhalten vorhanden ist.