NAT 1:1 não funciona corretamente



  • Olá pessoal, estou iniciando agora no mundo PFSense por necessidade e por curiosidade.
    Já procurei na net, neste fórum (inclusive em inglês), no youtube…
    Instalei o PFSense 2 em um servidor para substituir o firewall anterior que está dando problemas (ASTARO, craqueado, venceu em 2006 a licença).

    Configurei tudo certinho, todas as máquinas navegam normal.
    O problema: preciso imprimir via terminal (o famoso ambiente mainframe), tenho um link que faz interface com esse mainframe (que é remoto) cuja classe de rede é diferente da que uso na rede local;
    Essa impressao tem que ir para o mainframe e voltar, fazer o NAT/DNAT para a máquina com IP Local e imprimir (no firewall anterior funcionava, agora não sei por que raios parou, eu ja apaguei e reconfigurei a interface virtual e nada de voltar a funcionar);

    Traduzindo:

    IP DO SERVIÇO DE IMPRESSAO -> 10.100.44.90
    IP INTERNO -> 192.168.2.20

    Quando a impressão sai ela vai da maquina interna (192.168.2.20), troca o endereço para 10.100.44.90 e volta. Esta volta que não está dando certo, segundo o pessoal do serviço de impressão, a resposta é que é impossivol conectar, mas eles conseguem pingar o endereço normalmente.

    --> 192.168.2.20 --> 10.100.44.90 --> 192.168.2.20

    Já configurei na regra de NAT 1:1 para redirecionar os ips e nada!
    O que posso estar fazendo errado?
    Obrigado.
    Rossini Sousa



  • rossisolrac,

    Primeiramente, bem vido ao fórum.

    você já usou o tcpdump para monitorar este trafego de pacotes? ou seja já conferiu se o pacote sai do pfsense com o ip correto e se o servidor remoto responde alguma coisa?

    Você criou as regras de firewall para o nat funcionar?

    att,
    Marcello Coutinho



  • Primeiramente, obrigado pela resposta rápida.
    Sim, habilitei, tanto que os computadores navegam normalmente pelos dois links que existem na rede. Alterei ate a sub rede para 192.168.23.0…

    Vou testar com o TCP DUMP, aqui estão uns screens do firewall.

    Virtual IPS

    FIREWALL RULES

    NAT 1:1

    A regra que estou testando é a primeira, do PC 10.100.44.99, somente após esta funcionar é que irei implementar as demais.



  • Destination no nat 1:1 costuma se any como esta na primeira regra.

    O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.

    att,
    Marcello Coutinho



  • Destination no nat 1:1 costuma se any como esta na primeira regra.

    Certo, estou testando apenas a primeira, onde está ANY, as demais vou implementar direito apenas quando esta funcionar;

    O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.

    Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
    Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?
    Ruim que só posso testar na segunda-feira agora…
    Valeu, quando testar posto o resultado.



  • @rossisolrac:

    Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
    Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?

    Crie a regra entendendo que ela é verificada depois da tradução do nat.
    interface sesec com origem sesec network e destino 192.168.23.19



  • Valeu cara, na segunda testo pra ver se funciona.



  • Sacanagem, ele parou de pingar pra fora, devo ter feito alguma besteira.


Locked