PortFoward e NAT con IP privati

macarleo

Salve a tutti

Da poco utilizzo PFSense ma ho esperienze su firewall come ISA Server e CheckPoint,
non sono riuscito a risolvere un problema che con gli altri due firewall è possibile fare, quindi
chiedevo supporto su come poter risolvere questo quesito.
Vorrei  eseguire un port forward da internet con il firewall PF
su un server che appartiene alla stessa lan interna di PF ma il server in questione non ha nessun gateway.
ho già costatato che se sul server imposto il gw che è PFserver il tutto funziona.  :)

la particolarità di questo problema e che il server non deve avere gateway e la richiesta di forward verso il server
non deve avvenire direttamente da Internet ma nattato con l'ip della rete interna del Firewall PF che è il 192.168.0.1.
come dicevo questo funziona sia con ISA che con CheckPoint.

Qualcuno mi sa indicare se questa funzionalità è supportata da PF?

Pfsense configurazione IP
IP PF lan internal–> 192.168.0.1/24
IP PF lan esterna --> Ip pubblico/24
gateway   --> router

Server1 Configurazione IP
IP Server1 --> 192.168.0.2/24
gateway Server1 --> nessuno

router --> ip pubblico/24

Server1 <------------------------> PF <-----------------------------> Router internet

192.168.0.2/24        192.168.0.1/24          Ip pubblico
Gateway nessuno    Gateway Router Internet    gateway Internet

macarleo

Salve a tutti
Speravo in un aiuto nella soluzione di questo quesito.
Ma nonostante abbia coinvolto persone che hanno esperienze su questo firewall non sono riuscito a risolvere il mio problema. :'(

Naturalmente la mia architettura di riferimento è più complessa ed ho cercato di semplificarla.
Se non sono stato chiaro nell'esposizione gradirei un vostro riscontro.

Saluti

morfeus8088

E' da piu di una settimana che nel forum non si muove una foglia!
Comunque io non ti saprei aiutare, mi spiace.. :-\

Morfeus8088.

Zanotti

Volevo capire se l'IP del server 192.168.0.2 deve essere nattato con 192.168.0.1 con una NAT 1:1 oppure è sufficiente nattare solo qualche porta.
Mi piacerebbe comunque capire perchè fare un nat di due indirizzi sulla stessa rete invece del classico WAN->LAN diretto.

appavito

il problema e che le chiamate verso il server, pf le gira al serverino, ma la risposta il serverino a chi la gira?
io ho avuto un sacco di problemi simili…..

usa un altro gw e poi:

2  se ipotesi il nat avviene dalla  wan alla opt1 ( non usare la lan poi ti spiego..) metti il gw  del serverino  nel next hope dell'interfaccia di  pfsense  in questo modo  tutte le chiamate verranno girate al gw del serverino e di pfsense e poi pensera lui..)
3 prova a mettere come next hope nella intefaccia opt1  l'ip del serverino ma non credo che risolva il problema...

da quello che ho provato io  se pf non e' il gateways raramente funzione il p.fowarding..

jakkar

non vorrei fare il guastafeste ma pe quale oscura ragione il server non può avere un gateway ?
se non deve uscire dalla lan lo blocchi dal firewall, ma un default gateway lo devi impostare! o no?

macarleo

scusatemi se non sono intervenuto alla discussione, comunque la soluzione c'è.

Grazie all'aiuto di un mio collega che è un guru su PF ha installato il modulo HAproxy ed abbiamo eseguito la configurazione come da manuale, funziona tutto. :)