[Resolvido]Problema com NAT

jhs

Prezados,

tenho uma estrutura com firewall interno e externo, atualmente com Linux e Iptables.
Estou substituindo primeiramente o Firewall interno, me deparei com a seguinte duvida/problema, tenho uma regar para uma determinada máquina que recebe um ip valido do Firewall externo.
Como está sendo feito isso:

Firewall Externo
         eth0: Uplink ligado no modem ótico.
         eth1 :Link para DMZ, de onde vem os NAT, faixa de ips 172.16.100.0/24 e também o dito ip da rede interna 172.16.10.xx

Firewall Interno
         eth0: Ligado na DMZ
         Eth1: link para a rede interna e a referida maquina.

O que ocorre, todas as regras estão operacionais mesmo essa:
iptables -t nat -A POSTROUTING -s 172.16.10.xx -j ACCEPT
iptables -t nat -A PREROUTING -s 172.16.10.xx -j ACCEPT

que diz que essa maquina não ira participar do NAT como as outras.

tentei de todas as formas realizar essa configuração no PFSense. 1:1, Outbound
e nada de funcionar. alguém pode me dar uma luz?

Desde já agradeço.

marcelloc

mude o outbound nat para manual e crie  regras somente para os ips que voce quer fazer nat.

Nunca usei esta opção mas ao criar uma regra no outbound nat, voce pode marcar o DO NOT NAT para definir que esta regra é um "não nat"

Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules.
Hint: in most cases, you won't use this option.

jhs

esse era o local que mais coloquei esforços para fazer funcionar, talvez esteja colocando a Interface incorreta, porem agora tentei um de cada vez e as duas juntas continua não funcionando.
se tiver mais alguma ideia.

continuo testando aqui.

Grato.

marcelloc

Não sei se você já absorveu o conceito, mas só para ajudar você pode entender o port forward como o nat da prerouting e o outbound nat como o source nat/posrouting.

aconselho o bom e velho tcpdump rodando na console/ssh do pfsense, desta forma você consegue saber exatamente o que não esta funcionando.

jhs

Marcelo,

desculpe as inúmeras perguntas sobre o mesmo problema, mas eu já testei todas as combinações e ainda não consegui resolver.

Estou com duvida sobre a opção
No XMLRPC Sync: deixo marcada ou não
e qual a interface que eu seleciono.

jhs

Continuando a duvida tem a outra parte:

no Port Forward:

No RDR (NOT): Abilitada ou não?

Qual Interface eu coloco?

NAT reflection: não sei ao certo o que quer dizer essa opção.

se deixar o No RDR (NOT) desabilidado surge a opção de Redirect target IP, qual IP colocar?

Filter rule association: também não sei ao certo o que representa.

segue o print do Port Forward:

marcelloc

@jhs:

Estou com duvida sobre a opção
No XMLRPC Sync: deixo marcada ou não
e qual a interface que eu seleciono.

ela só é util quando você tem um pfsense ou mais sincronizando regras

@jhs:

Continuando a duvida tem a outra parte:

no Port Forward

você esta fazendo nat de todas as portas?

Se o objetivo é fazer com que o ip 172.16.10.18 não passe pelo nat, o outbound nat é a aba onde você vai configurar isso.

jhs

Marcelo,

vlw pela ajuda, agora funcionou tranquilamente, fiz as configurações necessarias no Outbound.

Porem o que estava esquecendo é de criar uma rota no firewall externo para o teste em paralelo com o de produção.