Измучился с пробросом портов



  • Всем добрый день, товарищи уже измучился с пробросом портов. Читал все факи(сделано по ним). Но что то нифига не работает. В кратце задача: при заходе на ван порт по порту 8088 должно пробрасывать на 192.168.1.2 на 80 порт(там вебморда почтового сервака). Все прописывал как в факах но ничего не получается(не работает).
    P.S. Данный сервак пока готовиться к тому чтобы заменить основной(все компы в сети прописаны на 192.168.1.1-айпишник сервака с ПФ 192.168.1.3)
    Все остальные правила пока тоже не работают, но самое главное заставить пробросить порт на вебморду почтовика. Скрины настроек прилагаю
    P.S.S. на PF установлены Squid v3+lightSquid v3.
    Кстати из внутренней сетки при наборе внешнего айпишника и порта пробрасывает, из вне(т.е. с другого провайдера) не проходит. 2ip говорит что порт 8088 закрыт





  • @ZLoBNbIY:

    Всем добрый день, товарищи уже измучился с пробросом портов. Читал все факи(сделано по ним). Но что то нифига не работает. В кратце задача: при заходе на ван порт по порту 8088 должно пробрасывать на 192.168.1.2 на 80 порт(там вебморда почтового сервака). Все прописывал как в факах но ничего не получается(не работает).
    P.S. Данный сервак пока готовиться к тому чтобы заменить основной(все компы в сети прописаны на 192.168.1.1-айпишник сервака с ПФ 192.168.1.3)

    Прочтите в факах про шлюз на компах при пробросе портов.



  • Если дело только в этом то прошу прощения за беспокойство(завтра утром обязательно попробую и отпишу о результатах)
    Попробовал сейчас сервак с 1с перенастроить на 192.168.1.3 и подключиться по внешнему айпишнику на порт 2000-результат нулевой, нет подключения.



  • А можно показать схему сети?



  • @ZLoBNbIY:

    Если дело только в этом то прошу прощения за беспокойство(завтра утром обязательно попробую и отпишу о результатах)
    Попробовал сейчас сервак с 1с перенастроить на 192.168.1.3 и подключиться по внешнему айпишнику на порт 2000-результат нулевой, нет подключения.

    Для тестирования требуется подключаться с ВНЕШНЕГО источника. Если Вы пытаетесь протестировать маппинг подключением из локальной сети, то у Вас ничего не получится без дополнительных настроек. Совсем недавно была тема, там порты тестировались с некоторого сайта. Погуглите сайты на тему проверки открытости портов.



  • Конечно тестирую с другого интернет канала(другой провайдер/другие айпишники) т.е. однозначно тестирую подключение из вне.
    Схематичная карта сети




  • В порт форвард для 8088 Dest.addr – Wan address. Правило XZ на 3128 отключите. (Зачем сквид на порт-форваде?. Обычно кешируют скидом на внутренних интерфейсах)

    Сделано, но ничего не изменилось. По прежнему пока не работает ни одно правило



  • Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?



  • А в правилах LAN что прописано?
    Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
    А из локалки-то по 80 порту доступ к серваку есть?



  • А в правилах LAN что прописано?
    Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
    А из локалки-то по 80 порту доступ к серваку есть?

    Сам сервак в инет гуляет без проблем, на нем шлюзом прописан Pfsense, из локалки доступ на 80 порт есть, из локалки даже если ввести в браузер внешний айпишник и порт перебрасывает куда надо т.е. срабатывает схема lan->wan->lan. Из внешки пройти не могу



  • Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?

    К сожалению уже ушел с работы, внешнего доступа нет. Завтра устром в 8:30 по Мск попробую и отпишусь о результатах. Но из локалки сервак отлично пингуется(из внешки тоже пинг есть)



  • Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?

    P.S. Да и пинг из-вне с такими правилами идти на внутренние машины не должен. На WAN нет разрешающих правил для ICMP.



  • Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?

    т.е. получается надо копать squid чтобы не мешал бегать траффику из вне?Обязатаельно завтра попробую его отключить и протестить



  • Правило Dest.Addr WAN address и Dest. ports 3128 NAT IP 192.168.1.3 по-моему вообще надо удалить, а
    вместо правила Dest.Addr * Dest. ports 8088 NAT 192.168.1.2 NAT Ports 80 вместо Dest.Addr *
    прописать Dest.Addr WAN address.
    По идее всё должно железно работать.
    А ещё - не стоит ли на серваке касперский - не включен ли режим невидимости, тогда в локалке всё
    будет бегать, а из интернета фигвам.



  • Ну что ж утренний отчет по действиям что советовали вчера:
    1. Выключил сквид-проверил соединение из внешки-не работает
    2. Еще раз проверил все правила файрвола и пробросов, на данный момент они вот такие(см.приложения)
    3. Так как на данный момент почтовый сервак очень важен решил все таки колдовать с пробросом RDP подключения на сервак 1с(айпишник 192.168.1.199)
    Открыл для него порт 2000(2ip.ru видит порт открытым, хотя в тоже время порт 8088 виден закрытым)
    4. Пробовал телнетом проваливаться по портам, из внешки ничего не проходит(сквид и включен и выключен-результат один). Если телнетом долбить находясь в нутри сети по внешнему айпишнику соединение отличное(RDP также работает отлично даже если цепляемся на внешний IP находясь внутри сети)
    5. Антивирь на серваке 1с отключен, брендмауэр тоже(как система на 1с серваке юзается win7 prof с патченым файлом для кол-ва RDP)

    Какие еще будут советы как победить шантан машину?
    P.S. Давайте теперь будем рассматривать проброс RDP подключения т.к. данный сервак уже настроен на шлюз с PFsense










  • А скопировать в закладке LAN правило с LAN net и вместо LAN net поставить 192.168.1.2,
    и такое же правило для 192.168.1.199?
    А с внешки RDP как набираете - mstsc <белый ip-адрес>:2000,
    а в браузере <белый ip-адрес>:8088?



  • Попробовал и так(см 1 картинку) и так (см 2 картинку) результат тот же-из внешки подключиться не удалось






  • RDP набираю конечно же "белый IP:2000" ну и в браузере соответственно тоже с указанием порта



  • Удалите в LAN закладке два нижних правила, они ни к чему.
    В принципе, если создать алиас к примеру servers, в него прописать серваки 192.168.1.2 и 192.168.1.199
    и в правиле вместо LAN net поставить алиас servers, всё просто обязано железно работать!
    У меня работает и RDP и VNC  и видеонаблюдение.



  • В NAT port-forward Dest.port поставте 3389. Если Вы подключаетесь из Windows "Подключение к удаленному рабочему столу" то заработает.



  • С 2000 - портом тоже все работает. В  "Подключение к удаленному рабочему столу" В параметрах входа – Компьютер -- ip.address:portПроверил на своей сети работает.</ip.address:port>



  • Настройка как на Ваших скринах в начале топика, только без сквида и правило 8088 с Dest.addr – WAN address.

    P.S. И 8088 с такими настройками работает. И на LAN  оставте только разрешающее правило (а 2 нижних уберите)



  • Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек



  • @ZLoBNbIY:

    Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек

    выброси скрины настроек



  • Бросил тебе в личку, форум глюкает что то, не могу прикрепить файлы



  • Просьба тоже скинуть в личку. Вопрос, ты на серваке что указал шлюзом? У тебя сервак ходит мимо Squida?



  • Доброго времени суток. Вот действительно измучился с пробросом портов.
    Задача такова, надо открыть порт для работы приложения. Настроенные ранее порты работают как часы.
    https://cloud.mail.ru/public/5d9e8d6cf096/tab1.png
    причём 5555 порт выполняет туже задачу, только на другом сервере.
    Проблема возникает с 8888. Правило создавал и полностью новое, и на базе существующего.
    Итог порт открылся, потом через пару дней опять закрыт.
    Вот настройка NAT
    https://cloud.mail.ru/public/c7710f85df6b/tab2.png
    и Rules
    https://cloud.mail.ru/public/5b68c48f7709/tab3.png
    а это все по Rules
    https://cloud.mail.ru/public/2237c44f4949/tab4.png
    Подскажите, в каком направлении копать



  • Что за ОС на проблемной машине? Telnet на 8888 внутри сети проходит? У 192.168.0.8 шлюзом pfsense указан ? Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ? Если есть - временно выключить (и родной от MS тоже)



  • @werter:

    Что за ОС на проблемной машине?

    Win 2003

    Telnet на 8888 внутри сети проходит?

    Нет! и nmap его не видит

    У 192.168.0.8 шлюзом pfsense указан ?

    Да.

    Есть ли фаервол (особенно всякие там комплексные Internet Security) на нем ?

    Нету. Мауэр отключен.

    На скрине не вошло, но на этом серваке открыт порт RDP и прекрасно летает.
    На сколько я понимаю у меня проблема не с PFS, а с серваком.
    Блин, засада. Не понимаю, почему не слушается порт.



  • На сколько я понимаю у меня проблема не с PFS, а с серваком.
    Блин, засада. Не понимаю, почему не слушается порт.

    Первым делом всегда проверяйте доступность порта внутри сети!

    По остальным вопросам обращайтесь на профильный форум своего (проблемного) ПО.



  • В сети есть машина 192.168.0.101 которая показывает web-морду через 80 порт, необходимо подключаться к этой web-морде через нестандартный порт - 555 извне. Шлюз организован на pfsense. Внутри сети все прекрасно работает. Проброс NAT такой:
    Interface - WAN
    Protocol - TCP
    Source Adress - *
    Source Ports - *
    Dest. Adress - WAN adress
    Dest. Ports - 555
    NAT IP - 192.168.0.101
    NAT Ports - 80 (HTTP)
    Другие программы (Radmin, RDP) проброшены по такому же принципу и работают без проблем.

    Если в вышеуказанном правиле "Dest. Adress" прописать порт - 80 (HTTP), все начинает работать. В браузере соответственно уже не указываем "внешний_IP:555", просто "внешний_IP".
    В чем может быть такая странная проблема?

    P.S. В браузере при проверке заходил из другой сети (другой провайдер).



  • У меня работает подобная комбинация.
    WAN TCP * * * 1111 192.168.0.215 80 (HTTP)
    Попробуйте
    Вместо
    Destination= WAN address
    использовать
    Destination= ANY



  • Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.



  • Отключите файрволл на 192.168.0.101
    Подымите на 192.168.0.101 еще какую-нибудь службу, если это Виндовс - включите тот же RDP и попробуйте аналогичное на нем, например -  WAN:33398->192.168.0.101:3389



  • Файрвол на 192.168.0.101 выключен, другие службы включая RDP (порт 3389) пробрасываются без проблем. То есть набрав к примеру 89.178.14.21:3555 я подключаюсь по RDP на 192.168.0.101



  • @BlackRoger:

    Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.

    А нету ли на pfsense squid'a в прозрачном режиме?



  • @PbIXTOP:

    @BlackRoger:

    Сделал по Вашей рекомендации - не помогло. Не понятно почему с 80 на 80 все работает, а с 555 на 80 нет … уже весь мозг сломал.

    А нету ли на pfsense squid'a в прозрачном режиме?

    Да, явно что-то мешает.

    Попутно вопрос. Port forward активно и давно использую. И с мультиваном и без. И ни разу не использовал поле
    Destination= WAN address (по умолчанию там ANY)
    И все всегда работает.  Что я делаю не так?



  • А нету ли на pfsense squid'a в прозрачном режиме?

    Стоял - полностью удалил и перезагрузил pfsense. Не помогло
    Может быть в system \ advanced где-то галочка не там стоит? Сейчас стоят на:
    Enable webConfigurator login autocomplete
    Disable HTTP_REFERER enforcement check
    Enable Secure Shell



  • А что насчет WebGUI redirect?
    У меня эта галка не отмечена.

    Включите лог для этого правила на WAN.



  • WebGUI redirect у меня тоже не отмечена. А где включается лог для этого правила на WAN? И как потом увидеть результат?


Log in to reply