[Resolvido]Problema com NAT



  • Prezados,

    tenho uma estrutura com firewall interno e externo, atualmente com Linux e Iptables.
    Estou substituindo primeiramente o Firewall interno, me deparei com a seguinte duvida/problema, tenho uma regar para uma determinada máquina que recebe um ip valido do Firewall externo.
    Como está sendo feito isso:

    Firewall Externo
             eth0: Uplink ligado no modem ótico.
             eth1 :Link para DMZ, de onde vem os NAT, faixa de ips 172.16.100.0/24 e também o dito ip da rede interna 172.16.10.xx

    Firewall Interno
             eth0: Ligado na DMZ
             Eth1: link para a rede interna e a referida maquina.

    O que ocorre, todas as regras estão operacionais mesmo essa:
    iptables -t nat -A POSTROUTING -s 172.16.10.xx -j ACCEPT
    iptables -t nat -A PREROUTING -s 172.16.10.xx -j ACCEPT

    que diz que essa maquina não ira participar do NAT como as outras.

    tentei de todas as formas realizar essa configuração no PFSense. 1:1, Outbound
    e nada de funcionar. alguém pode me dar uma luz?

    Desde já agradeço.



  • mude o outbound nat para manual e crie  regras somente para os ips que voce quer fazer nat.

    Nunca usei esta opção mas ao criar uma regra no outbound nat, voce pode marcar o DO NOT NAT para definir que esta regra é um "não nat"

    Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules.
    Hint: in most cases, you won't use this option.



  • esse era o local que mais coloquei esforços para fazer funcionar, talvez esteja colocando a Interface incorreta, porem agora tentei um de cada vez e as duas juntas continua não funcionando.
    se tiver mais alguma ideia.

    continuo testando aqui.

    Grato.



  • Não sei se você já absorveu o conceito, mas só para ajudar você pode entender o port forward como o nat da prerouting e o outbound nat como o source nat/posrouting.

    aconselho o bom e velho tcpdump rodando na console/ssh do pfsense, desta forma você consegue saber exatamente o que não esta funcionando.



  • Marcelo,

    desculpe as inúmeras perguntas sobre o mesmo problema, mas eu já testei todas as combinações e ainda não consegui resolver.

    Estou com duvida sobre a opção
    No XMLRPC Sync: deixo marcada ou não
    e qual a interface que eu seleciono.



  • Continuando a duvida tem a outra parte:

    no Port Forward:

    No RDR (NOT): Abilitada ou não?

    Qual Interface eu coloco?

    NAT reflection: não sei ao certo o que quer dizer essa opção.

    se deixar o No RDR (NOT) desabilidado surge a opção de Redirect target IP, qual IP colocar?

    Filter rule association: também não sei ao certo o que representa.

    segue o print do Port Forward:



  • @jhs:

    Estou com duvida sobre a opção
    No XMLRPC Sync: deixo marcada ou não
    e qual a interface que eu seleciono.

    ela só é util quando você tem um pfsense ou mais sincronizando regras

    @jhs:

    Continuando a duvida tem a outra parte:

    no Port Forward

    você esta fazendo nat de todas as portas?

    Se o objetivo é fazer com que o ip 172.16.10.18 não passe pelo nat, o outbound nat é a aba onde você vai configurar isso.



  • Marcelo,

    vlw pela ajuda, agora funcionou tranquilamente, fiz as configurações necessarias no Outbound.

    Porem o que estava esquecendo é de criar uma rota no firewall externo para o teste em paralelo com o de produção.


Log in to reply