Nat verso server interno



  • Buona sera,
    sto sbattendo il naso su una configurazione di pfsense 2.0.1 abbastanza banale, ma non ne esco!
    Ho sostituito un firewall cisco guasto con un alix+pfsense.
    Dalla rete lan devo raggiungere un server 1.2.3.4 che sta sulla lan 192.168.1.10, le porte interessate sono la 25 la 80 e la 443.
    Per prima cosa sposto il servizio di configurazione sulla porta 8080 (HTTPS)e spunto la voce WebGui Redirect.
    Di seguito creo 3 regole di nat per per le 3 porte e fin qua tutto bene.
    Il server sulla lan è un MS exchange che utilizza la porta 443 per il sevizio OWA, se dall'esterno punto la porta 80 il server risponde regolarmente, ma quando passo al protocollo https il server mi risponde che non ho i permessi (errore 403.6), dall'interno ovviamente funziona tutto e funzionava dall'esterno anche con il cisco e testando le porte dall'esterno risultano aperte, il server in risposta usa le porte 1656 + altre 2 di seguito (questo sul primo client ma penso che poi prosegua con le porte).
    Il server riceve e distribuisce la posta regolarmente (porte 25 e 80).
    Dove sbaglio?



  • hai creato la regola nel firewall per lasciare passare il traffico sulla porta 443 con destinazione il srv ?

    attenzione che in pf devi mettere l'indirizzo finale di destinazione per cui l'ip lan 192.168.x.x e non l'indirizzo wan. tutto però nelle regole della wan.



  • Ciao,
    segui questi passaggi:

    Vai in firewall->virtualIP se l'indirizzo pubblico del server interno è diverso da quello di pfsense
    Vai in Firewall -> nat -> 1:1 e crea un nat come segue:



  • Ma perchè dovete sempre fa usare il NAT 1:1 (o la DMZ dei routerini da supermercato)??
    Non serve a niente..

    Nei log di pfSense vedi qualcosa di bloccato?



  • Supponiamo che tu abbia una linea ADSL vulgaris con 8 ip e uno di questi sia dedicato al server exchange.
    Come prima cosa io farei un alias dove enuncio le porte 80 443 (non servono altre porte per l'OWA)
    poi farei una nat 1:1 con nat reflection attiva dove: interface=wan, External subnet IP= [ip interessato della wan], Destination=[ip interno dell'exchange]
    poi farei una regola sull'interfaccia wan dove: source address=any, source port=any, protocollo=tcp/upd, port=[alias creato in precedenza], destinazione=[ip interno dell'exchange] e log=attivo

    ps: ovviamente supponendo che tu abbia già configurato la parte di indirizzi ip wan dati dall'ISP