Problema con reglas de salida
-
Hola.
Tengo el pfsense con 2 WAN y una LAN.
He configurado el port forward y las reglas del firewall para que desde fuera (a traves de la WANFIJA) entren por SSH a un equipo de la LAN.
El problema es que ahora desde la LAN no puedo acceder por SSH a ningun equipo de internet (la LAN sale a traves de la otra WAN)
¿Cual puede ser el problema?
¿Tengo que configurar puerto por puerto las reglas de salida en el outbound?
Gracias.
Adjunto capturas de mi configuración:
-
No.
Para salir quien manda son las reglas en LAN. Yo las veo bien. No entiendo por qué tienes problemas con esto.
Tienes una regla que autoriza todos los equipos en LAN a salir por la puerta por defecto (WAN).
Recuerda que todas las interfses tienen que estar en subredes con rangos distintos, para que pfSense puede trabajar como router.
Si todo parece correcto prueba a reiniciar. Tus equipos deberían poder ir a cualquier sitio de Internet con la regla que tienes, excepto servidores (primera regla en LAN) que toman otra puerta…
Saludos,
Josep Pujadas
-
Vaya, aproveche las capturas que tenia de otro post y no me di cuenta que en estas capturas no tengo las reglas del SSH.
Con la configuración que tengo en las capturas si me funciona el SSH para salir afuera, el problema es que también necesito acceder a mis servidores desde fuera de mi red, y cuando configuro esta regla de entrada el SSH no me funciona para salir afuera.Tengo el puerto 22 redireccionado a uno de mis servidores para que cualquier equipo pueda entrar a él desde fuera por la IP fija.
He puesto esta regla en el nat: port forward y en las firewall rules de la WANFIJA.Recuerda que todas las interfses tienen que estar en subredes con rangos distintos, para que pfSense puede trabajar como router.
La interfaz LAN está en el rango 192.168.1.X.
La WAN está conectada directamente a un cable modem que da la IP por DHCP.
La WANFIJA está conectada a un cable-modem y configurada con la IP fija que me da el proveedor.Gracias.
-
y cuando configuro esta regla de entrada el SSH no me funciona para salir afuera.
No tiene nada que ver. Y si hay relación es que algo no está bien.
Para publicar un servicio hay que hacer NAT entrante (Port Forrward) y esto crea una regla por defecto en la WAN que admite el tráfico entrante.
Para salir, basta una regla en LAN con destino al puerto… El cortafuegos hará NAT saliente (Outbund NAT) para publicar como origen la IP de la WAN y un puerto aleatorio en ella.
Es de lo más sencillo... O sea que hay algo evidente que no está bien.
Saludos,
Josep Pujadas
-
Tengo el mismo problema con el puerto 8080.
Lo tengo configurado de entrada a uno de mis servidores, como muestran las capturas, pero no me deja salir a otras paginas que tienen ese puerto.
¿Entonces tengo que configurar en las reglas del firewall de la LAN reglas para todos los puertos de salida? crei que bastaría con poner la regla general como la tengo ahora.
Cuando pueda lo probaré a ver.
Gracias bellera. -
¿Entonces tengo que configurar en las reglas del firewall de la LAN reglas para todos los puertos de salida?
Si quieres acotar las salidas, sí. Si quieres dejarlo abierto (ir a cualquier sitio/servicio de Internet), con una regla como la que viene por defecto basta.
-
Pues con la regla general que tengo puesta ahora, en cuanto configuro un puerto para port forward, ya no me deja salir por ese puerto.
Probare indicando expresamente los puertos para salir.
Gracias. -
¡Hola!
No entiendo…
¿Qué tiene que ver port forward con salir a Internet?
Las reglas para salir van en las LAN y para entrar van en las WAN.
Sólo hay reglas para entrar cuando se publica un servicio en Internet.
Cuando se hace NAT Port forward se genera una regla para entrar en la WAN que toca.
Las reglas que tienes en http://www.telecable.es/personales/nriquegg4/firewall_lan.jpg son las típicas "por defecto" en LAN.
Saludos,
Josep Pujadas
