Port Forward (WAN para LAN)



  • Caros,

    estou novamente enfrentando problemas de redirecionamento. Havia aberto o tópico http://forum.pfsense.org/index.php/topic,53288.0.html que tratava exatamente deste mesmo problema, o qual obtive a costumeira ajuda do johnnybe e marcelloc.
    No entanto, o redirecionamento só funciona internamente, ou seja, a partir da minha rede local.

    A partir da internet, não é realizado o forward.

    Trabalho em um colégio e o nosso site é hospedado na Locaweb, porém, possuímos um portal para divulgação de notas, diário eletrônico entre outras funcionalidades que está armazenado em um servidor web aqui na minha rede. O portal é acessado a partir do site que, conforme disse anteriormente, é hospedado na Locaweb.

    O acesso se dá da seguinte forma:
    Internet: http://IP_wan:porta_81/portalcorporerm (esse é o link em um dos menus do site)
    Rede local: http://IP_webserver/portalcorporerm (sem porta, mas com este complemento)

    Segui as orientações dadas pelo johnnybe no tópico referenciado acima e aqui: http://griffeltavla.wordpress.com/2011/07/30/pfsense-2-0-port-forwarding/

    Não sei se estas informações abaixo são válidas para o diagnóstico deste problema, mas:
    .meu default gateway está na interface OPT2 e não na WAN, que é onde temos o IP público em questão;
    .criei regra a qual a interface responde aos ping's e
    .ativei e criei regra para acessar a WebGUI a partir da internet, só para ter certeza de que a interface recebe solicitações da internet

    Sem regra e, a partir da internet, ao acessar o portal pelo site instantâneamente ocorre erro de página não pode ser exibida. Mas, com regra, reporta tempo excedido.

    Acredito que a regra está correta, só não está claro para mim como o pfSense trata as interfaces OPTx.
    Segue anexos.

    Sugestões?
    Obrigado novamente!
    Anderson…





  • @darkknight:

    .meu default gateway está na interface OPT2 e não na WAN, que é onde temos o IP público em questão;

    Você configurou a regra e o nat na OPT2 no lugar da WAN(que é onde temos o IP público em questão)

    @darkknight:

    .criei regra a qual a interface responde aos ping's e

    No seu screenshot você só liberou echo request nas duas regras



  • Marcelo,

    obrigado por responder.
    Talvez não ficou claro ou eu não entendi a tua resposta. A OPT2 é onde está o meu link com o IP público (o mesmo do portal). Sendo assim, a NAT e a regra de Firewall foram feitas apontando para a interface. Não entendi o que você quiz dizer na tua resposta, desculpe.
    Comentei desta forma, pois geralmente é a WAN que recebe regras de NAT e Firewall, daí fica a minha dúvida em como o pfSense trata as interfaces OPTx. Realcei tanto a regra quanto a interface no print.

    Quanto ao ping, está sim com ICMP echoreq e ICMP echorep. Dê uma olhada.

    Obrigado!



  • Se o ip está na interface correta, então é hora de começar a usar o tcpdump e monitorar o tráfego de rede para ver onde a comunicação não funciona.



  • Marcelo,

    usei tcpdump -i opt2 e não me trouxe nada, ou melhor, não executou o comando (print anexo) aparentemente.
    Nem mesmo com src host, por exemplo.

    Por gentileza, qual seria a sintaxe correta?

    Obrigado!




  • Caros,

    talvez ajude no troubleshooting, configurei regra de NAT e Firewall para acessar este mesmo servidor, via RDP (Conexão de Área de Trabalho Remota) e não consigo acessá-lo externamente, só a partir de um computador da rede.
    Lembrando que o firewall do Windows deste servidor está desativado, e consigo pingá-lo.

    Fiz mais algumas evidências, desta nova regra e das interfaces OPT3 (VLAN onde está o servidor web) e a LAN, que não existe regra alguma exceto a que o próprio pfSense criou.










  • O que você tem de "advanced" configurado nestas regras?



  • Fiz uns testes apontando para um outro servidor, não é webserver mas possui alguns serviços, o forward e o RDP funcionaram perfeitamente.
    Neste, em questão, estou achando que o problema está no complemento do endereço.

    ip_wan:81/complemento - não abre
    ip_wan:81 - página em construção (IIS)

    Se for isto mesmo, é possível adicionar este complemente na configuração de forward, ou através de Alias?

    Marcelo,  vou verificar estas configurações de Advanced e postarei em seguida.

    Obrigado novamente!
    Anderson…



  • @darkknight:

    Se for isto mesmo, é possível adicionar este complemente na configuração de forward, ou através de Alias?

    Não. Forward e alias não vão tratar o http na camada 7, só um serviço de proxy reverso como apache,squid ou varnish.

    Verifique a configuração do seu IIS, principalmente a parte do host header.



  • Caros,

    a regra está funcionando, por hora, mas acredito que não terei mais problemas. Acontece que o servidor tem duas placas de rede, uma com IP estático e a outra dinâmico só que de certa forma, elas compartilham do mesmo gateway, em rotas diferentes ???
    Na verdade, não sei ao certo o que fez funcionar, pois desativei a placa de rede e logo em seguida fiz um boot (Win 2003).
    Estava achando estranho pois não estava conseguindo nem mesmo capturar o servidor via RDP.
    No momento não posso refazer o processo, pois não posso parar o acesso ao portal até semana que vem, para dar um diagnóstico melhor da causa.

    Mas, novamente, obrigado pela costumeira ajuda e orientações!
    Marcelo, acredito que possa trancar o tópico.

    Abraços!
    Anderson…



  • Duas placas de rede no mesmo segmento de rede com ips diferentes e mesmo gateway?

    Pra mim o seu problema é só este.



  • É, mais ou menos isto sim!
    O sistema deste server usava esta segunda placa de rede para navegar, ou melhor, disparar e-mails automaticamente.
    Mas atualmente as duas navegam então, desativei a outra.

    Abraços!


Locked