[Resolvido]Problema com NAT
-
Prezados,
tenho uma estrutura com firewall interno e externo, atualmente com Linux e Iptables.
Estou substituindo primeiramente o Firewall interno, me deparei com a seguinte duvida/problema, tenho uma regar para uma determinada máquina que recebe um ip valido do Firewall externo.
Como está sendo feito isso:Firewall Externo
eth0: Uplink ligado no modem ótico.
eth1 :Link para DMZ, de onde vem os NAT, faixa de ips 172.16.100.0/24 e também o dito ip da rede interna 172.16.10.xxFirewall Interno
eth0: Ligado na DMZ
Eth1: link para a rede interna e a referida maquina.O que ocorre, todas as regras estão operacionais mesmo essa:
iptables -t nat -A POSTROUTING -s 172.16.10.xx -j ACCEPT
iptables -t nat -A PREROUTING -s 172.16.10.xx -j ACCEPTque diz que essa maquina não ira participar do NAT como as outras.
tentei de todas as formas realizar essa configuração no PFSense. 1:1, Outbound
e nada de funcionar. alguém pode me dar uma luz?Desde já agradeço.
-
mude o outbound nat para manual e crie regras somente para os ips que voce quer fazer nat.
Nunca usei esta opção mas ao criar uma regra no outbound nat, voce pode marcar o DO NOT NAT para definir que esta regra é um "não nat"
Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules.
Hint: in most cases, you won't use this option. -
esse era o local que mais coloquei esforços para fazer funcionar, talvez esteja colocando a Interface incorreta, porem agora tentei um de cada vez e as duas juntas continua não funcionando.
se tiver mais alguma ideia.continuo testando aqui.
Grato.
-
Não sei se você já absorveu o conceito, mas só para ajudar você pode entender o port forward como o nat da prerouting e o outbound nat como o source nat/posrouting.
aconselho o bom e velho tcpdump rodando na console/ssh do pfsense, desta forma você consegue saber exatamente o que não esta funcionando.
-
Marcelo,
desculpe as inúmeras perguntas sobre o mesmo problema, mas eu já testei todas as combinações e ainda não consegui resolver.
Estou com duvida sobre a opção
No XMLRPC Sync: deixo marcada ou não
e qual a interface que eu seleciono. -
Continuando a duvida tem a outra parte:
no Port Forward:
No RDR (NOT): Abilitada ou não?
Qual Interface eu coloco?
NAT reflection: não sei ao certo o que quer dizer essa opção.
se deixar o No RDR (NOT) desabilidado surge a opção de Redirect target IP, qual IP colocar?
Filter rule association: também não sei ao certo o que representa.
segue o print do Port Forward:
-
@jhs:
Estou com duvida sobre a opção
No XMLRPC Sync: deixo marcada ou não
e qual a interface que eu seleciono.ela só é util quando você tem um pfsense ou mais sincronizando regras
@jhs:
Continuando a duvida tem a outra parte:
no Port Forward
você esta fazendo nat de todas as portas?
Se o objetivo é fazer com que o ip 172.16.10.18 não passe pelo nat, o outbound nat é a aba onde você vai configurar isso.
-
Marcelo,
vlw pela ajuda, agora funcionou tranquilamente, fiz as configurações necessarias no Outbound.
Porem o que estava esquecendo é de criar uma rota no firewall externo para o teste em paralelo com o de produção.