Port Forwarding 443 hacia un servidor SSH

rodria

Buenas "noches"

Tengo problemas haciendo forwarding:

if      Proto  Src addr    Src ports  Dest. addr Dest. ports NAT IP     NAT Ports Description
WAN TCP   *              *            WAN address  443 (HTTPS)    192.168.1.x    22 (SSH)

Como ven, se trata de hacer forward desde el puerto 443 hacia un puerto SSH.  incluso el SSH lo puse a escuchar por el puerto 443 e hice el NAT con ambos puertos iguales y nada.

Usando iptables con mi Debian funciona sin problemas… Alguna idea?

Saludos.

acriollo

Que tal Rodria.

Puedes checar si en las reglas de la interface (WAN)  aparece la regla correspondiente a este port forwarding. ? Podrias checar que la maquina al que estas reeviando el puerto tenga la puerta de enlace correcta ?

saludos

rodria

Sí está… -->

Protocolo: TCP
Source: *
Port: *
Destination: 192.168.1.x
Port: 22(SSH)
Gateway: *
Queue: none
Schedule:
Description: NAT

Esta misma regla se repite para 192.168.1.[y,z,f] con origen de puertos más altos declarados en el menu NATy funcionan, de hecho, si a la regla NAT de 192.168.1.x le cambio de puerto.. digamos que en lugar de 443 le coloco 50.000 funciona correctamente… el detalle es que con el puerto 443 NO, y necesito el 443 porque aveces requiero llegar a ese server y si estoy detrás de un FW/Proxy no puedo... Supongamos que estoy en un aeropuerto... o que quiera hacer un tunnel ssh ;)

Como puedes ver... solo falla si uso 443 (puerto predefinido en pfSense) lo cual descarta algún tipo de problema con el GW del host destino.

Saludos.

bellera

¿Tu WAN es pública o privada?

Si es privada, ¿no tendrás un equipo de conexión a internet administrable por https?

Otra posibilidad, rara, pero posibilidad. Me explico:

443 está reservado normalmente en LAN para la administración de pfSense por https. Esto no debería afectar tu NAT Por Forward pero igual hay algún lío con la "reserva". Si tienes a pfSense administrado por https cambia el puerto 443 a otro. A ver qué pasa.

acriollo

Rodria , podrias poner las pantallas del portforwarding y de las reglas de la WAN, me parece que las reglas estan mal.

saludos

rodria

Saludos…

Mi WAN es pública, una dirección dinámica que me entrega mi ISP, la cual la tengo con un DynDNS.

Mi pfSense lo tengo administrable via https pero en un puerto alto, ejem.. 60443 y desde la calle o interno le llego via https://MyDynDNS:60443 sin problemas.

Yo realmente creo que el problema sea algo de la "reserva" porque si uso cualquier otro puerto para el NAT funciona sin problemas.
El 443 NO lo estoy usando para nada en toda mi red, precisamente porque lo único que me interesa realmente es poder hacer un tunnel ssh en ese puerto, ya que muchos FW solo permiten la salida de paquetes via http y https...

Probé colocar el SSH del pfSense en el puerto 443 y funciona a la perfección, así que el problema realmente es solo con el NAT, y exclusivamente con el 443, porque como ya mencioné anteriormente si uso por ejemplo  60022 en lugar de 443 todo funciona sin problema...

Pruebas:

Android_S3:ConnectBot_3G -------> SSH_MyDNS:60022 ------> MyPfSense -------> NAT 60022:192.168.1.x:22 (SSH) -----> Conected

Android_S3:ConnectBot_3G -------> SSH_MyDNS:443     ------> MyPfSense -------> NAT 443:192.168.1.x:22 (SSH)    -----> No_Conected

En este caso coloqué el puerto SSH del Debian a escuchar por 443
Android_S3:ConnectBot_3G -------> SSH_MyDNS:443     ------> MyPfSense -------> NAT 443:192.168.1.x:443 (SSH)  -----> No_Conected

Android_S3:ConnectBot_3G -------> SSH_MyDNS:10022 ------> MyPfSense -------> NAT 10022:192.168.1.y:22 (SSH)  -----> Conected

Android_S3:ConnectBot_3G -------> SSH_MyDNS:443 ------> MyPfSense -------> Conected  (Colocando el puerto SSH de pfSense en 443)

Android_S3:Opera --------> https://myDynDNS:60443  ------->  MyPfSense  -------->  Conected

MyLocalPC:Chrome  --------->  https://192.168.1.1:60443  (MyPfSense)   -----------> Conected

He probado desde mi Movil con 3G para usar una conexión externa a mi red, la idea es que estando en el aeropuerto.

Como usando 443 como puerto de ssh del pfSense funciona...(La idea era llegarle a mi Debian 192.168.1.x)  voy a probar detrás de un proxy hacer un tunnel SSH usando el pfSense...pero igualmente me agradaría saber porque el NAT no funciona con el 443 hacia SSH...

Luego probaré montar un Nginx o Apache con ssl en mi debian y ver si el forward HTTPS_443  ------> HTTPS_443 funciona. yo pienso que sí debería funcionar sin problemas, pero lo que está pasando con SSH no lo entiendo...

Alguno que pueda probar NAT 443 ----> 22 y ver si le funciona?

Saludos y gracias

bellera

Tendrás que usar pfctl en consola

pfctl -> Control de PF
http://www.freebsd.org/cgi/man.cgi?query=pfctl
MUCHO CUIDADO, HAY ÓRDENES DESTRUCTIVAS.