NAT outbond



  • Un saluto a tutti !

    Qualche giorno fa ho sostituito due vecchi firewall Linux con due firewall PFSense, sui quali ho ricopiato la configurazione.
    Tutto funziona bene, ma ho un problema di NAT outbond (source NAT detto in altro modo).

    Sulla carta sembra semplice ma mi da delle grane, ecco come è strutturato quel firewall:

    • 1 IP pubblico sulla Wan del firewall
    • 10 IP pubblici impostati come VIP, VIP del tipo Proxy ARP
    • 1 LAN, impostata come 10.254.254.0/24, all'interno 10 IP nattati 1:1 verso i VIP di cui sopra
      -  limitatori di banda di tipo limiter verso ciascun IP

    Tutto funziona bene, NAT, navigazione, limitatori di banda.. e sino qui gli IP escono con l'IP del firewall.

    Ora, quando imposto un NAT outbond, dicendo…

    l'IP interno 10.254.254.10 esce con il VIP xxx
    l'IP interno 10.254.254.11 esce con il VIP yyy

    così da rendere simmentrico l'ingresso e l'uscita... mi ritrovo che le macchine interne non escono proprio.
    Invece se dico... 10.254.254.0/24 esce con il VIP xxx nessun problema.

    Non capisco quale sia il problema..  le macchine in LAN raggiungono il proprio GW, ma poi non escono (nel primo caso).
    Lo trovo assurdo, ma magari sbaglio qualcosa di banale...

    Grazie

    Luca



  • scusami, non conosco ancora pfSense, ma puoi fare da shell:

    iptables -t nat -L

    ? che ti esce?



  • iptables -t NAT -L visualizza la tabella di NAT ma in Linux… PfSense usa BSD...



  • @dea:

    iptables -t NAT -L visualizza la tabella di NAT ma in Linux… PfSense usa BSD...

    hai ragione! :P