Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema NAT Reflection?

    Scheduled Pinned Locked Moved Italiano
    8 Posts 2 Posters 7.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      explinux
      last edited by

      Salve,
      scrivo qui il mio problema, sperando che qualcuno sappia darmi una mano; visto il mio scarso inglese, spero che qualcuno di voi possa aiutarmi, altrimenti posterò in Inglese.

      Ho installato pfSense 1.2 su un router che gestisci diversi Virtual IP a cui sono mappati gli indirizzi interni di alcuni miei server, con NAT 1:1.
      Ho ovviamente aperto tutte le porte necessarie al raggiungimento dei servizi dall'esterno, inoltre ho forzato diversi "port forwarding" per i servizi in cui mi occorreva il "NAT Reflection".
      Premetto che il "Nat Reflection" per smtp (25 TCP), tomcat( 8080 TCP ), sito web ( 80 TCP ) funziona correttamente.

      Il problema nasce sulla porta 50100 su cui è in ascolto un server UDP; questa porta è facilmente raggiungibile da IP esterni, ma non da IP interni e/o mappati con altri IP Pubblici gestiti dallo stesso router pfSense

      Regola nell'interfaccia WAN con policy "accetta" e "Log" attivato

      Proto      Source      Port    Destination              Port
      UDP            *                  *        Polifemo                50100 - 50110

      Regola nell'interfaccia LAN con policy "accetta" e "Log" attivato

      Proto  Source  Port  Destination              Port
      UDP                *      *          192.168.1.11          50100-50110

      Regola di Port Forwarding per abilitare il NAT Reflection

      If            Proto            Ext. port range                  NAT IP                            Int. port range
      WAN          UDP            50100 - 50110          192.168.1.11(ext: 217...__)        50100 - 50110

      La spedizione di pacchetti, oltre che con il programma client, l'ho provata con il comando

      sudo nmap -sU -p 50100 217.__.__.__
      

      che funziona perfettamente da REMOTO, restituendo

      Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:03 CEST
      Interesting ports on Xdsl-217.__.__.__.energit.it (217.__.__.__):
      PORT      STATE         SERVICE
      50100/udp open|filtered unknown
      
      Nmap done: 1 IP address (1 host up) scanned in 0.687 seconds
      

      mentre da una macchina interna ottengo

      
      Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:08 CEST
      Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
      Nmap done: 1 IP address (0 hosts up) scanned in 3.048 seconds
      

      Chiudo dicendo che dai log, che mostrano i pacchetti bloccati, e quelli passanti per quella porta, come descritto nella regola di firewall WAN , non mostra ne pacchetti passanti ne tagliati, se non quando mi connetto da remoto ( allora passano e li vedo ); mentre la regola LAN non mi traccia mai nulla, in nessuno dei due casi.

      Sapete se questo è un bug di pfsense? come mai la reflection per i pacchetti udp non sembra funzionare?
      Spero possiate darmi una risposta, grazie in anticipo

      Enrico

      1 Reply Last reply Reply Quote 0
      • M
        mascaos
        last edited by

        Non sono sicuro d'aver afferrato il concetto … non riesco a capire dove ti si blocchi ? Se dall'esterno va per cui tu da internet ragg. l'ip pubblico e le porte risultano aperte, non è possibile che l'ip lan non sia ragg. dalla lan stessa ... diverso è se tu dalla tua lan tenti di provare ad accedere all'ip pubblico.

        Spiegami meglio in che condizione non ti funziona.

        Ciaoz.-

        1 Reply Last reply Reply Quote 0
        • E
          explinux
          last edited by

          Proprio così, io cerco di accedere all'ip publico dalla lan … per questo uso la nat reflection.
          Spero tu sappia dirmi se questo è un bug oppure un mio errore.

          Grazie
          Ciao

          1 Reply Last reply Reply Quote 0
          • M
            mascaos
            last edited by

            Hai gia tolto in Interfaces –> Wan --> Block private networks ?

            Matteo

            1 Reply Last reply Reply Quote 0
            • E
              explinux
              last edited by

              Ciao Matteo,
              si già tolto; riassumendo:

              funziona la nat reflection per il TCP ( vedo il sito che sta ll'interno della mia lan, tomcat, pop, smtp, etc … ) ma non un servizio in UDP che utilizzo.
              Con un IP interno non riesco a raggiungere la porta UDP dell'IP pubblico ( un'altra macchina ) sempre gestito da pfSEnse.

              Sembra che il NAT Reflection per l'UDP non funzioni, visto che ho sia aperto la porta ( infatti ci accedo con un altro IP Pubblico non gestito da pfSense; da Casa per esempio ) ed ho impostato il Port Forwarding, senza il quale so che il NAT Reflection non funziona.

              Sapresti aiutarmi, o magari fare una prova per vedere se anche tu hai lo stesso problema?

              Grazie mille

              Ciao

              1 Reply Last reply Reply Quote 0
              • M
                mascaos
                last edited by

                Allora mi sono dato da fare ed alla fine ho trovato questo post … anche se in inglese si capisce benissimo (sono tutti termini tecnici !)

                http://forum.pfsense.org/index.php/topic,4615.msg28173.html#msg28173

                In parole pover dicono che in pf l'udp reflection non c'è o meglio l'unico modo per forzarlo è usare tcp/udp. Leggere per credere.

                Ciaoz.-
                Matteo

                PS: mi posti le regole per il reflection del TCP … dato che ho qualche problema su quello ! DANKE !

                1 Reply Last reply Reply Quote 0
                • E
                  explinux
                  last edited by

                  Ciao,
                  sto provando per vedere se quella che mi hai proposto è la soluzione; speriamo ;)

                  Comunque non ho capito quale sia il tuo problema … che intendi per "mi posti le regole per il reflection del TCP"? sarò felicissimo di darti una mano se mi aiuti a capire.

                  Io per la Nat Reflection ho semplicemente aperto le porte dei servizi ( quindi visibili dall'esterno ), ed in più creato regole uguali ma per il NAT ... quindi facevo il Port Forwarding delle porte che mi servivano in NAT Reflection ( accessibili, con l'indirizzo esterno, anche all'interno ).

                  Dimmi se ti serve una mano in più.

                  Ciao e grazie

                  1 Reply Last reply Reply Quote 0
                  • M
                    mascaos
                    last edited by

                    Si si … ero ubriaco ... avevo reinstallato tutto e mi ero dimenticato di togliere il baffo in System --> Advance per il blocco del NAT Reflection ecco perchè non andava!
                    Ora funge tutto. Danke e fammi sapre le l'upd così scopro qualcosa di nuovo :D

                    Ciaoz.-

                    Matteo

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.