Problema NAT Reflection?



  • Salve,
    scrivo qui il mio problema, sperando che qualcuno sappia darmi una mano; visto il mio scarso inglese, spero che qualcuno di voi possa aiutarmi, altrimenti posterò in Inglese.

    Ho installato pfSense 1.2 su un router che gestisci diversi Virtual IP a cui sono mappati gli indirizzi interni di alcuni miei server, con NAT 1:1.
    Ho ovviamente aperto tutte le porte necessarie al raggiungimento dei servizi dall'esterno, inoltre ho forzato diversi "port forwarding" per i servizi in cui mi occorreva il "NAT Reflection".
    Premetto che il "Nat Reflection" per smtp (25 TCP), tomcat( 8080 TCP ), sito web ( 80 TCP ) funziona correttamente.

    Il problema nasce sulla porta 50100 su cui è in ascolto un server UDP; questa porta è facilmente raggiungibile da IP esterni, ma non da IP interni e/o mappati con altri IP Pubblici gestiti dallo stesso router pfSense

    Regola nell'interfaccia WAN con policy "accetta" e "Log" attivato

    Proto      Source      Port    Destination              Port
    UDP            *                  *        Polifemo                50100 - 50110

    Regola nell'interfaccia LAN con policy "accetta" e "Log" attivato

    Proto  Source  Port  Destination              Port
    UDP                *      *          192.168.1.11          50100-50110

    Regola di Port Forwarding per abilitare il NAT Reflection

    If            Proto            Ext. port range                  NAT IP                            Int. port range
    WAN          UDP            50100 - 50110          192.168.1.11(ext: 217...__)        50100 - 50110

    La spedizione di pacchetti, oltre che con il programma client, l'ho provata con il comando

    sudo nmap -sU -p 50100 217.__.__.__
    

    che funziona perfettamente da REMOTO, restituendo

    Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:03 CEST
    Interesting ports on Xdsl-217.__.__.__.energit.it (217.__.__.__):
    PORT      STATE         SERVICE
    50100/udp open|filtered unknown
    
    Nmap done: 1 IP address (1 host up) scanned in 0.687 seconds
    

    mentre da una macchina interna ottengo

    
    Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:08 CEST
    Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
    Nmap done: 1 IP address (0 hosts up) scanned in 3.048 seconds
    

    Chiudo dicendo che dai log, che mostrano i pacchetti bloccati, e quelli passanti per quella porta, come descritto nella regola di firewall WAN , non mostra ne pacchetti passanti ne tagliati, se non quando mi connetto da remoto ( allora passano e li vedo ); mentre la regola LAN non mi traccia mai nulla, in nessuno dei due casi.

    Sapete se questo è un bug di pfsense? come mai la reflection per i pacchetti udp non sembra funzionare?
    Spero possiate darmi una risposta, grazie in anticipo

    Enrico



  • Non sono sicuro d'aver afferrato il concetto … non riesco a capire dove ti si blocchi ? Se dall'esterno va per cui tu da internet ragg. l'ip pubblico e le porte risultano aperte, non è possibile che l'ip lan non sia ragg. dalla lan stessa ... diverso è se tu dalla tua lan tenti di provare ad accedere all'ip pubblico.

    Spiegami meglio in che condizione non ti funziona.

    Ciaoz.-



  • Proprio così, io cerco di accedere all'ip publico dalla lan … per questo uso la nat reflection.
    Spero tu sappia dirmi se questo è un bug oppure un mio errore.

    Grazie
    Ciao



  • Hai gia tolto in Interfaces –> Wan --> Block private networks ?

    Matteo



  • Ciao Matteo,
    si già tolto; riassumendo:

    funziona la nat reflection per il TCP ( vedo il sito che sta ll'interno della mia lan, tomcat, pop, smtp, etc … ) ma non un servizio in UDP che utilizzo.
    Con un IP interno non riesco a raggiungere la porta UDP dell'IP pubblico ( un'altra macchina ) sempre gestito da pfSEnse.

    Sembra che il NAT Reflection per l'UDP non funzioni, visto che ho sia aperto la porta ( infatti ci accedo con un altro IP Pubblico non gestito da pfSense; da Casa per esempio ) ed ho impostato il Port Forwarding, senza il quale so che il NAT Reflection non funziona.

    Sapresti aiutarmi, o magari fare una prova per vedere se anche tu hai lo stesso problema?

    Grazie mille

    Ciao



  • Allora mi sono dato da fare ed alla fine ho trovato questo post … anche se in inglese si capisce benissimo (sono tutti termini tecnici !)

    http://forum.pfsense.org/index.php/topic,4615.msg28173.html#msg28173

    In parole pover dicono che in pf l'udp reflection non c'è o meglio l'unico modo per forzarlo è usare tcp/udp. Leggere per credere.

    Ciaoz.-
    Matteo

    PS: mi posti le regole per il reflection del TCP … dato che ho qualche problema su quello ! DANKE !



  • Ciao,
    sto provando per vedere se quella che mi hai proposto è la soluzione; speriamo ;)

    Comunque non ho capito quale sia il tuo problema … che intendi per "mi posti le regole per il reflection del TCP"? sarò felicissimo di darti una mano se mi aiuti a capire.

    Io per la Nat Reflection ho semplicemente aperto le porte dei servizi ( quindi visibili dall'esterno ), ed in più creato regole uguali ma per il NAT ... quindi facevo il Port Forwarding delle porte che mi servivano in NAT Reflection ( accessibili, con l'indirizzo esterno, anche all'interno ).

    Dimmi se ti serve una mano in più.

    Ciao e grazie



  • Si si … ero ubriaco ... avevo reinstallato tutto e mi ero dimenticato di togliere il baffo in System --> Advance per il blocco del NAT Reflection ecco perchè non andava!
    Ora funge tutto. Danke e fammi sapre le l'upd così scopro qualcosa di nuovo :D

    Ciaoz.-

    Matteo


Log in to reply