Проблема с пробросом портов



  • Уважаемые, я знаю, что уже не одна тема создавалась по этому вопросу, но все же прошу помочь, т.к. самому наладить не получается.
    Итак, имеется pfsense 2.0.1, который установлен на виртуалке. Интерфейс wan настроен на pppoe и имеет белый ip. Lan смотрит в сеть адресом 192.168.1.100. Так же имеются два сервака - это web (192.168.1.202) и ftp (192.168.1.204). На этих серваках pfsense в качестве шлюза. Интернет на всех машинах работает без проблем. Но вот проброс портов не получается настроить. Пожалуйста помогите разобраться.





  • @rline:

    я знаю, что уже не одна тема создавалась по этому вопросу

    http://www.thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.html



  • Обязательно ли настраивать nat outbond, если pfsense является шлюзом для серверров?



  • @rline:

    Обязательно ли настраивать nat outbond, если pfsense является шлюзом для серверров?

    Смотря какой портфорвард. В стандартной ситуации нет.
    У меня -  Automatic outbound NAT rule generation



  • Может ли не работать проброс из за того, что установлены модули Lightsquid и squid?



  • @rline:

    Может ли не работать проброс из за того, что установлены модули Lightsquid и squid?

    Нет, эти пакеты не влияют.

    Может быть проблема с ftp (192.168.1.204). В остальном всё должно работать.



  • В Source и Source port range везде поставить Any
    В Destination - везде WAN Address



  • Чтобы не плодить темы продолжу "старую песню о главном…" pfsense 2.0.1 Есть несколько wan-адресов, на один из них (.202) повесили nat, который пускает локаль (100.0) в интернет. Беру ip (100.253), создаю NAT Rule, где указываю что все что приходит на wan адрес на опр.порт, транслировать на локальный ip и соответствующий порт, Firewall Rule создается автоматом.

    NAT Rule Overview

    NAT Rule View

    Firewall auto-rule

    Все Firewall Rules


    Запускаю торрент с указанием работать через 61035 и как ожидается результат = 0. Проверяю из вне открыт ли порт, результат тот же. Когда включил поддержку upnp и nat-pmp, порт был по-прежнему закрыт, но utorrent используя эти возможности выдавал результат что порт "в принципе" открыт (если можно так выразиться).

    В какую сторону смотреть? И есть ли вариант настроить логирование, чтобы понять под какое запрещающее правило попадает этот порт/ip/wan ???



  • Запускаю торрент с указанием работать через 61035 и как ожидается результат = 0

    Кто Вам сказал что торрент работает (только) по TCP?
    В Ваших правилах (и NAT и fw) для p2p должно быть TCP\UDP. Удаляйте правила для Port forwarding и для fw и создавайте новый проброс порта(ов) для TCP\UDP.

    Плюс на интерфейсе LAN в fw для адреса 192.168.100.253 не забудьте создать разрешающее правило (и поставить его выше(!) запрещающих) для прохождения трафика TCP\UDP на порты 1024-65535. Иначе никакого p2p Вам не видать.

    P.s. Ребята (и девчата :)) Я сам не шибко "вумный" в *NIX , но прежде чем ругать данный продукт и писать что что-то не работает по вине разработчиков - сперва необходимо разобраться как работает то или иное приложение. Ведь продукт-то замечательный. Очень многих сие творение выручило (и меня в том числе).



  • Спасибо за советы! Уточните пожалуйста какого вида должно быть правило для LAN на fw. Имею ввиду кто source и кто destination



  • @Farxat:

    Спасибо за советы! Уточните пожалуйста какого вида должно быть правило для LAN на fw. Имею ввиду кто source и кто destination

    TCP/UDP 192.168.100.253 * * * 1024-65535

    P.s. Вы сами pfsense поднимали или поднятый до Вас настраиваете ?



  • Подскажите пожалуйста, действительно ли требуется удалять и создавать заново правила или же я могу просто изменить существующие? Просто для меня очевидно что разницы нет. Или это особенности системы?



  • @Farxat:

    Подскажите пожалуйста, действительно ли требуется удалять и создавать заново правила или же я могу просто изменить существующие? Просто для меня очевидно что разницы нет. Или это особенности системы?

    Лучше удалить и создать новое.



  • Не помогло. Попробывал дополнительно включать-выключать UPNP, после применения новых правил сделал Reset States и тоже безтолку. В логах fw вижу, что есть входящие которые транслируются с внешнего .202 на внутренний 100.253 Ну или как минимум отрабатывает правило, по которому так должно быть.
    Мой случай безнадежен или есть еще варианты? Мне хочется понять, есть ли в PFsense что то вроде дебаггера, чтобы прослеживать пакеты и правила которые их обрабатывают?



  • @Farxat:

    Есть несколько wan-адресов,

    Создайте правило такого вида для одного из WAN.




  • Создайте правило такого вида для одного из WAN.

    На скрине выбрана вся пачка wan адресов. Фраза как то сама себе противоречит. В любом случаи в fw и nat на wan у меня указан один внешний адрес, тот который определяется если я иду на тот же internet.yandex.ru



  • Парни, есть еще идеи?



  • Здравствуйте! Проблема такая: настроил NAT, а он не работает. Может что неправильно сделал, посмотрите плиз.

    Стоит Сервер c pfSense 2,0,3, к нему подключено два провайдера (PPTP и ADSL) и LAN (наша сеть).  у провайдера PPTP есть локальная сеть. Так вот у меня дома этот же провайдер, хочется подключаться к своему компу через Radmin по внутреннему IP от провайдера. Шлюз на компе стоит сервер с pfSense.



  • на wan интерфейсе разреши Private networks
    (правило NAT вроде норма