NAT Port Forwarding



  • Hallo,

    ich habe meine neue Firewall pfsense 2.2.4 am laufen. Nur mit dem Port Forwarding habe ich Probleme.

    Ich habe eine Feste IP: 217.x.x.x

    Wenn ich die von einem externen Internetanschluß aufrufe komme ich immer auf die Webpage der pfsene.

    Ich kann einstellen was ich will, alle Anleitungen im Internet sehen anders aus.

    Hat jemand einen aktuelle Einstellung oder kann mir einen Printcopy senden?

    Danke für die Hilfe.

    Christian :-[


  • LAYER 8 Moderator

    Wenn ich die von einem externen Internetanschluß aufrufe komme ich immer auf die Webpage der pfsene.

    Hast du die denn überhaupt freigegeben? Das dürfte so ohne weiteres nämlich nicht der Fall sein, da Default alles auf dem WAN geblockt wird.

    Hat jemand einen aktuelle Einstellung oder kann mir einen Printcopy senden?

    Was willst du denn nun überhaupt erreichen? Dann kann ich dir auch gern helfen dabei :)

    Grüße



  • Du musst für den WebConfigurator einen anderen TCP Port wählen: System > Advanced > Admin Access TCP Port
    Setze auch den Haken bei "WebGUI redirect".


  • LAYER 8 Moderator

    @virago: ist eine Möglichkeit, muss aber nicht sein. Ich hab meine pfS hier im Lab auch intern auf https/443 ganz normal und von außen via Port Forward wird 443 auf ein anderes System umgebogen. Die NAT Regeln werden in PF eigentlich immer vor den normalen Regeln ausgelesen und ausgewertet, so dass man das durchaus umleiten kann - und das auch sehr spezifisch (default von außen auf einen Honeypot bspw. und nur von trusted IPs antwortet die Firewall).

    Deshalb fragte ich auch was genau der OP bauen wollte und was wohin umleiten. :)

    Viele Grüße



  • Hallo,

    ich habe im LAN einen Webserver für mein Webmail.

    Ich möchte den Port 80 auf meinen Webserver umleiten.

    Anbei meine Einstellung.



  • LAYER 8 Moderator

    Was mir auffällt:

    Vorab: Erstelle ein Port Alias mit beliebigem Namen (bspw. P_web_default) und füge dort die Ports 80 & 443 ein.

    Protokoll: TCP only, UDP hat bei HTTP/S nichts zu suchen ;)

    Source: hat leer zu sein. also Type: any, hier NICHTS einfügen, sonst begrenzt du den Punkt, wer dir Daten senden darf (aka das Internet). Da das bei dir auf dem Telekom_VDSL net steht wird das so ziemlich niemand sein…

    Source Port: hat leer zu sein, Verkehr VOM Client kommt nicht von Port 80/443, sondern von random HighPorts > 1024!

    Destination: hier müsste die IP der Firewall hin, also wahrscheinlich die VDSL_address, also die Adresse die deine Firewall via VDSL im Internet hat.

    Dest. Port: Hier dein vorher erstelltes Port Aliase eingeben (rote Felder unterstützen Auto-Completion)

    Redirect Target/Port: Da muss dein Server und seine IP rein. Der Target Port sollte mit dem Alias oben übereinstimmen.

    Reflection: wirst du nur brauchen, wenn du vom LAN aus mit der externen IP dich auf den Server verbinden willst (wegen DNS oder derlei), Normalfall aber erstmal nicht.

    Filter Rule: Stelle das lieber auf add associated filter rule und gebe bei Description weiter oben einen sinnvollen Namen für diese Regel ein (allow HTTP to Server1 via NAT) und dann speicher das Ganze.

    Was mit "add associated rule" passiert ist, dass dir jetzt bei Firewall/Rules eine mit Link/Ketten Symbol neu erstellte Regel ins Auge sticht, die den Verkehr, der vorher per NAT umgewandelt wird durchlässt. Eine eigene Regel zu haben ist aber einfacher als bei NAT "pass" auszuwählen und macht es einfacher, bei größeren Regelsets durchzusteigen, WARUM bspw. überhaupt was funktioniert oder nicht.

    Editiere jetzt die neue verlinkte Regel und du siehst, dass der meiste Kram ausgegraut ist (da sie an der NAT Regel hängt). Du kannst aber bei "Log" den Haken bei Log packets reinmachen. Dann wirst du Verbindungsversuche via dieser Regel mitbekommen und kannst prüfen ob es klappt.

    Speichern, Apply, testen.

    Have fun


Log in to reply