NAT: Port Forward com Gateway do Host como outro servidor.
-
Tenho o PFSense funcionado com 3 WAN e 1 LAN. Está funcionado legal o balanceamento dos links e as Regras de Firewall.
O problema é que tenho 600 hosts na minha rede e todos eles estão como Gateway 129.200.9.1 (Gateway atual - Maquina Windows).
Quando faço um NAT no PFSense para redirecionar a porta xxxx da WAN para um IP e Porta na LAN a regra só funciona quando o host com o IP da regra esta usando o PFSense como Gateway.Faço o redirecionamento aqui por outro firewall e por iptables também e ambos funcionam sem o host estar com o IP do servidor que esta fazendo o redirecionamento como seu gateway.
Isso é normal do PFSense? Só funciona o NAT se estiver usando ele como Gateway?
Ele enxerga todos os hosts pois estão pois estão na mesma faixa de IP conectados pela LAN. -
Isso é normal do PFSense? Só funciona o NAT se estiver usando ele como Gateway?
Esse é o comportamento normal de qualquer rede. Sua configuração está no mínimo esquisita colocando o gateway em um servidor quando na verdade é outro ip que faz o roteamento…
Você só vai conseguir completar a "esquisitice" se além do nat, você configurar um source nat para mascarar o ip externo.
-
Então o PFSense ainda não esta em produção estou testando. Tenho 3 links de Internet aqui (GVT, INTELIG e EMBRATEL) com IP fixo e 2 servidores que fazem o roteamento de WAN para LAN e vice versa.
Exemplo:
Firewall 1 - 129.200.9.1
Firewall 2 - 129.200.9.2
Obs.: Minhas maquinas na rede LAN não precisão esta com Gateway como um dos firewall para o NAT funcionar, mesmo com outro gateway o NAT funciona.Só o PFSense que preciso colocar o IP dele como gateway das maquinas.
Obs.: Eu sei que o correto é o Gateway das maquinas estarem com o PFSense, mais no meu caso tenho mais de um gateway na rede e funciona normalmente o NAT com os dois simultaneamente.
-
Erick, isso não é de forma alguma limitação do pfSense. Desenhe a configuração da sua rede para ver como os seus dois outros gateways estão funcionando.
Para tentar te explicar melhor porque o nat não vai funcionar desta forma que você montou:
-
O pacote vem da internet com ip válido ex: 200.200.200.200 para o ip da wan 199.199.199.199
-
O pfSense faz o nat e encaminha o pacote para seu host. ex: 200.200.200.200 para ip do servidor 192.168.1.10
-
O servidor recebe a conexão e devolve o pacote para o gateway configurado, afinal 200.200.200.200 não é ip da mesma rede
-
O seu gateway(não o pfsense) recebe o pacote. Neste ponto, se ele for um firewall com um mínimo de qualidade, ele rejeita o pacote porque ele não tem esta conexão estabelecida em suas tabelas de estado de conexão. Se for um gateway ou firewall de baixa ou nenhuma qualidade, ele encaminha o pacote para seu default gateway, que nesse caso deve ser um dos seus links wan.
Nesse ponto o usuario externo no ip 200.200.200.200 recebe a resposta da solicitação para o ip 199.199.199.199 de um outro ip(ip wan do seu outro gateway ex: 198.198.198.198) e naturalmente rejeita o pacote porque a resposta não retornou pelo ip que ele solicitou.
att,
Marcello Coutinho -
-
Entendi sua explicação e concordo com você. Mais vamos ao desenho da rede:
Gateway 1 - 129.200.220.99 (Uso o Software WinGate)
Gateway 2 - 129.200.20.2 (Uso Iptables)
PFSense - 129.200.200.222 (Testando)Maquinas da rede:
IP: 129.200.x.x
MASK: 255.255.0.0
GW: 129.200.9.1 (Esse era um Servidor Novell antigo que era o Gateway atualmente é um servidor de compartilhamento de arquivos)
DNS: 129.200.220.99Obs.: As maquinas acessão a internet por Proxy.
Problema:
Se eu fizer um redirecionamento com Gateway 1 ou 2 ele funciona. Só com o PFSense que preciso configurar o gateway como como 129.200.200.222 para funcionar.
Até se eu colocar a maquina sem gateway nenhum funciona, pois quando ela recebe uma requisição por exemplo RDP (3389) ela recebe vinda do gateway em questão pela interface LAN e retorna para ele mesmo, depois o gateway que tem o trabalho de mandar de volta para o IP externo. -
Se a regra funcioná sem gateway nenhum é porque sua segurança está pior do que você pensa.
Seu nat atual está mascarando a origem e destino o que praticamente inviabiliza qualquer auditoria de acesso.
-
Mais essa não é a questão levantada aqui. Só quero que o NAT do PSSense funcione sem ter que usá-lo como gateway do host.
-
Mais essa não é a questão levantada aqui. Só quero que o NAT do PSSense funcione sem ter que usá-lo como gateway do host.
Se segurança não é o foco, faz o source nat como te falei no primeiro post.