NAT: Port Forwarding (IN) von 2.1.5 auf 2.2.2 funktioniert nicht mehr
-
da fehlen die Regeln auf dem WAN Interface.
Beim anlegen der NAT Regel unten bei "Filter rule association" habe ich noch nie mit Pass gearbeitet immer mit add assosicated filter rule.
Also am besten die Regel löschen und dann neu anlegen und statt pass einfach add assosicated filter rule auswählen (sollte auch Standard sein)
Dann solltest du auf dem WAN Interface auch die Regel sehen. -
hat die PfSense denn direkt die Öffentliche IP oder hängt die noch hinter einer anderen Firewall.
Was verbirgt sicht denn hinter dem Alias Block? nicht das der das vielleicht schon weg blockt.
-
Der Alias-Block sind externe IP's - in der Version 2.1.5. die ich als Referenzsystem habe, weil hier alles funktioniert.
Jetzt zum Test in der Version 2.2.2 ist hier (*).
Was mich aber wundert, dass ich mit dem Befehl "pfctl -vvsa | grep 10.0.2.4" keine Filtereinträge finde.
Wie oben im Bild sind diese aber in der WebUI vorhanden?
-
Im Log sieht man ja das es geblockt wird.
Wenn externe IP's geblockt werden von dieser Regel kommt die Firewall ja gar nicht zu den allow Regeln.
Wenn jetzt ein * drin steht wird ja alles geblockt?
Die Firewall arbeitet immer von Oben nach Unten wenn eine Regel greift geht es nicht weiter.
Wenn du also * machst und dann block kommt er gar nicht zu den Regel.Mache diese Regel dann einfach nochmal raus zum testen und schaue ob es dann geht.
Und du hast immer noch nicht gesagt ob die Pfsense direkt die öffentliche IP hat ;) weil wenn nicht und sie eine private hat gibt es immer noch die default Regel die auch alles blocken was privat ist.
Daher beantworte die Fragen dann kommen wir sicher weiter :)
-
wenn du speicherst und apply drückst wird die config direkt aktiv.
habe im Log sehen du hast es mal mit 4443 versucht war das vertippt oder absicht? weil deine NAT Regel Leitet ja extern 443 zu inten 443 um.
Wenn dann müsstest du da extern 4443 und intern 443 machen und dann nochmal testen
ansonsten wüsste ich auch nicht weiter weil das muss so gehen.
-
Danke trotzdem.
Habe auf beiden Systemen eine Änderung in einer NAT Regel gemacht.
Unter Diagnostics: Execute command
pfctl -vvsa | grep NATauf dem System 2.1.5 wird die Konfigurationsänderung korrekt angezeigt
auf dem System 2.2.2 wird kein Änderung angezeigt.Hast Du einen Tipp.
-
Vielleicht ist das hier das Problem, ich weiß aber auch nicht weiter wie ich das lösen könnte.
Wäre schön wenn jemand einen Tipp hat :)Habe die pfS 2.2.2 zurückgesetzt und erneut probiert.
1. Befehl ausgeführt: pfctl -vvsa
Im Defaultzustand sind FILTER RULES: @0 bis @732. Habe eine NAT Rule angelegt:
keine Änderung - also der Filter ist hier nicht vorhanden, obwohl die WebUI alles korrekt anzeigt.3. Diagnostics: Execute command
pfctl -vvsa | grep 10.0.2.52
-
Erledigt:
Folgendes war das Problem.Ich hatte von der Version 2.1.5 die "ALIAS" übernommen, hier gab es auch ALIAS-URLs.
Der Befehl: "pfctl -f /tmp/rules.debug"
gab folgenden Fehler aus:
…
/tmp/rules.debug /tmp/rules.debug:32:
/var/db/aliastables/Suchen.txt"
...Alle ALIAS-URLs entfernt und der Befehl: "pfctl -f /tmp/rules.debug" gab keinen Fehler aus = OK.
Nun REBOOT
Und nun werden alle Firewall-Rules sofort mit dem Befehl: "pfctl -vvsa" angezeigt. (ggfs verfeinern pfctl -vvsa | grep NAT)Also wurden wahrscheinlich durch die "defekte'" ALIAS Table die Konfigurationen nicht korrekt übernommen.
Noch ein Hinweis: in Version 2.1.5 gab es keine Fehlermeldung.
-
Hast du zwischenzeitlich die Aliase wieder angelegt? Ich habe in meiner Konfiguration auch URL basierende Aliase und hier gabs beim Update keine Probleme. Hattest du evtl. in deinen URLs zufällig irgendwelche Sonderzeichen abseits normaler Konventionen? Ansonsten kann das an dieser Stelle natürlich auch sehr ungeschickter Zufall gewesen sein, interessant wäre bspw. gewesen, was in der Zeile 32 der Alias Tabelle stand. Vielleicht gabs hier auch ein DNS Problem beim Auflösen der URLs und der Parser hat dann Unfug da reingeschrieben.
Grüße
-
Die beiden Aliase hatte ich, wobei nach dem ich "Suchen" entfernt hatte, war der Fehler weg.
Ich habe aber beide entfernt und noch nicht neu angelegt.
Bin erstmal froh das es läuft.<alias><name>Suchen</name>
<url>www.google.de</url>
<updatefreq>32</updatefreq><address>www.google.de</address>
<descr><type>urltable</type>
<detail></detail></descr></alias>
<alias><name>Updates</name>
<url>http://updates.pfsense.org</url>
<updatefreq>128</updatefreq><address>http://updates.pfsense.org</address>
<descr><type>urltable</type>
<detail></detail></descr></alias>