NAT: Port Forward com Gateway do Host como outro servidor.



  • Tenho o PFSense funcionado com 3 WAN e 1 LAN. Está funcionado legal o balanceamento dos links e as Regras de Firewall.
    O problema é que tenho 600 hosts na minha rede e todos eles estão como Gateway 129.200.9.1 (Gateway atual - Maquina Windows).
    Quando faço um NAT no PFSense para redirecionar a porta xxxx da WAN para um IP e Porta na LAN a regra só funciona quando o host com o IP da regra esta usando o PFSense como Gateway.

    Faço o redirecionamento aqui por outro firewall e por iptables também e ambos funcionam sem o host estar com o IP do servidor que esta fazendo o redirecionamento como seu gateway.

    Isso é normal do PFSense? Só funciona o NAT se estiver usando ele como Gateway?
    Ele enxerga todos os hosts pois estão pois estão na mesma faixa de IP conectados pela LAN.



  • @Erick:

    Isso é normal do PFSense? Só funciona o NAT se estiver usando ele como Gateway?

    Esse é o comportamento normal de qualquer rede. Sua configuração está no mínimo esquisita colocando o gateway em um servidor quando na verdade é outro ip que faz o roteamento…

    Você só vai conseguir completar a "esquisitice"  se além do nat, você configurar um source nat para mascarar o ip externo.



  • Então o PFSense ainda não esta em produção estou testando. Tenho 3 links de Internet aqui (GVT, INTELIG e EMBRATEL) com IP fixo e 2 servidores que fazem o roteamento de WAN para LAN e vice versa.

    Exemplo:
    Firewall 1 - 129.200.9.1
    Firewall 2 - 129.200.9.2
    Obs.: Minhas maquinas na rede LAN não precisão esta com Gateway como um dos firewall para o NAT funcionar, mesmo com outro gateway o NAT funciona.

    Só o PFSense que preciso colocar o IP dele como gateway das maquinas.

    Obs.: Eu sei que o correto é o Gateway das maquinas estarem com o PFSense, mais no meu caso tenho mais de um gateway na rede e funciona normalmente o NAT com os dois simultaneamente.



  • Erick, isso não é de forma alguma limitação do pfSense. Desenhe a configuração da sua rede para ver como os seus dois outros gateways estão funcionando.

    Para tentar te explicar melhor porque o nat não vai funcionar desta forma que você montou:

    • O pacote vem da internet com ip válido ex: 200.200.200.200 para o ip da wan 199.199.199.199

    • O pfSense faz o nat e encaminha o pacote para seu host. ex: 200.200.200.200 para ip do servidor 192.168.1.10

    • O servidor recebe a conexão e devolve o pacote para o gateway configurado, afinal 200.200.200.200 não é ip da mesma rede

    • O seu gateway(não o pfsense) recebe o pacote. Neste ponto, se ele for um firewall com um mínimo de qualidade, ele rejeita o pacote porque ele não tem esta conexão estabelecida em suas tabelas de estado de conexão. Se for um gateway ou firewall de baixa ou nenhuma qualidade, ele encaminha o pacote para seu default gateway, que nesse caso deve ser um dos seus links wan.

    Nesse ponto o usuario externo no ip 200.200.200.200 recebe a resposta da solicitação para o ip 199.199.199.199 de um outro ip(ip wan do seu outro gateway ex: 198.198.198.198) e naturalmente rejeita o pacote porque a resposta não retornou pelo ip que ele solicitou.

    att,
    Marcello Coutinho



  • Entendi sua explicação e concordo com você. Mais vamos ao desenho da rede:

    Gateway 1 - 129.200.220.99 (Uso o Software WinGate)
    Gateway 2 - 129.200.20.2 (Uso Iptables)
    PFSense - 129.200.200.222 (Testando)

    Maquinas da rede:
    IP: 129.200.x.x
    MASK: 255.255.0.0
    GW: 129.200.9.1 (Esse era um Servidor Novell antigo que era o Gateway atualmente é um servidor de compartilhamento de arquivos)
    DNS: 129.200.220.99

    Obs.: As maquinas acessão a internet por Proxy.

    Problema:
    Se eu fizer um redirecionamento com Gateway 1 ou 2 ele funciona. Só com o PFSense que preciso configurar o gateway como como 129.200.200.222 para funcionar.
    Até se eu colocar a maquina sem gateway nenhum funciona, pois quando ela recebe uma requisição por exemplo RDP (3389) ela recebe vinda do gateway em questão pela interface LAN e retorna para ele mesmo, depois o gateway que tem o trabalho de mandar de volta para o IP externo.



  • Se a regra funcioná sem gateway nenhum é porque sua segurança está pior do que você pensa.

    Seu nat atual está mascarando a origem e destino o que praticamente inviabiliza qualquer auditoria de acesso.



  • Mais essa não é a questão levantada aqui. Só quero que o NAT do PSSense funcione sem ter que usá-lo como gateway do host.



  • @Erick:

    Mais essa não é a questão levantada aqui. Só quero que o NAT do PSSense funcione sem ter que usá-lo como gateway do host.

    Se segurança não é o foco, faz o source nat como te falei no primeiro post.