Problema NAT Reflection?

explinux

Salve,
scrivo qui il mio problema, sperando che qualcuno sappia darmi una mano; visto il mio scarso inglese, spero che qualcuno di voi possa aiutarmi, altrimenti posterò in Inglese.

Ho installato pfSense 1.2 su un router che gestisci diversi Virtual IP a cui sono mappati gli indirizzi interni di alcuni miei server, con NAT 1:1.
Ho ovviamente aperto tutte le porte necessarie al raggiungimento dei servizi dall'esterno, inoltre ho forzato diversi "port forwarding" per i servizi in cui mi occorreva il "NAT Reflection".
Premetto che il "Nat Reflection" per smtp (25 TCP), tomcat( 8080 TCP ), sito web ( 80 TCP ) funziona correttamente.

Il problema nasce sulla porta 50100 su cui è in ascolto un server UDP; questa porta è facilmente raggiungibile da IP esterni, ma non da IP interni e/o mappati con altri IP Pubblici gestiti dallo stesso router pfSense

Regola nell'interfaccia WAN con policy "accetta" e "Log" attivato

Proto      Source      Port    Destination              Port
UDP            *                  *        Polifemo                50100 - 50110

Regola nell'interfaccia LAN con policy "accetta" e "Log" attivato

Proto  Source  Port  Destination              Port
UDP                *      *          192.168.1.11          50100-50110

Regola di Port Forwarding per abilitare il NAT Reflection

If            Proto            Ext. port range                  NAT IP                            Int. port range
WAN          UDP            50100 - 50110          192.168.1.11(ext: 217...__)        50100 - 50110

La spedizione di pacchetti, oltre che con il programma client, l'ho provata con il comando

sudo nmap -sU -p 50100 217.__.__.__

che funziona perfettamente da REMOTO, restituendo

Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:03 CEST
Interesting ports on Xdsl-217.__.__.__.energit.it (217.__.__.__):
PORT      STATE         SERVICE
50100/udp open|filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 0.687 seconds

mentre da una macchina interna ottengo

Starting Nmap 4.65 ( http://nmap.org ) at 2008-06-20 16:08 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.048 seconds

Chiudo dicendo che dai log, che mostrano i pacchetti bloccati, e quelli passanti per quella porta, come descritto nella regola di firewall WAN , non mostra ne pacchetti passanti ne tagliati, se non quando mi connetto da remoto ( allora passano e li vedo ); mentre la regola LAN non mi traccia mai nulla, in nessuno dei due casi.

Sapete se questo è un bug di pfsense? come mai la reflection per i pacchetti udp non sembra funzionare?
Spero possiate darmi una risposta, grazie in anticipo

Enrico

mascaos

Non sono sicuro d'aver afferrato il concetto … non riesco a capire dove ti si blocchi ? Se dall'esterno va per cui tu da internet ragg. l'ip pubblico e le porte risultano aperte, non è possibile che l'ip lan non sia ragg. dalla lan stessa ... diverso è se tu dalla tua lan tenti di provare ad accedere all'ip pubblico.

Spiegami meglio in che condizione non ti funziona.

Ciaoz.-

explinux

Proprio così, io cerco di accedere all'ip publico dalla lan … per questo uso la nat reflection.
Spero tu sappia dirmi se questo è un bug oppure un mio errore.

Grazie
Ciao

mascaos

Hai gia tolto in Interfaces –> Wan --> Block private networks ?

Matteo

explinux

Ciao Matteo,
si già tolto; riassumendo:

funziona la nat reflection per il TCP ( vedo il sito che sta ll'interno della mia lan, tomcat, pop, smtp, etc … ) ma non un servizio in UDP che utilizzo.
Con un IP interno non riesco a raggiungere la porta UDP dell'IP pubblico ( un'altra macchina ) sempre gestito da pfSEnse.

Sembra che il NAT Reflection per l'UDP non funzioni, visto che ho sia aperto la porta ( infatti ci accedo con un altro IP Pubblico non gestito da pfSense; da Casa per esempio ) ed ho impostato il Port Forwarding, senza il quale so che il NAT Reflection non funziona.

Sapresti aiutarmi, o magari fare una prova per vedere se anche tu hai lo stesso problema?

Grazie mille

Ciao

mascaos

Allora mi sono dato da fare ed alla fine ho trovato questo post … anche se in inglese si capisce benissimo (sono tutti termini tecnici !)

http://forum.pfsense.org/index.php/topic,4615.msg28173.html#msg28173

In parole pover dicono che in pf l'udp reflection non c'è o meglio l'unico modo per forzarlo è usare tcp/udp. Leggere per credere.

Ciaoz.-
Matteo

PS: mi posti le regole per il reflection del TCP … dato che ho qualche problema su quello ! DANKE !

explinux

Ciao,
sto provando per vedere se quella che mi hai proposto è la soluzione; speriamo ;)

Comunque non ho capito quale sia il tuo problema … che intendi per "mi posti le regole per il reflection del TCP"? sarò felicissimo di darti una mano se mi aiuti a capire.

Io per la Nat Reflection ho semplicemente aperto le porte dei servizi ( quindi visibili dall'esterno ), ed in più creato regole uguali ma per il NAT ... quindi facevo il Port Forwarding delle porte che mi servivano in NAT Reflection ( accessibili, con l'indirizzo esterno, anche all'interno ).

Dimmi se ti serve una mano in più.

Ciao e grazie

mascaos

Si si … ero ubriaco ... avevo reinstallato tutto e mi ero dimenticato di togliere il baffo in System --> Advance per il blocco del NAT Reflection ecco perchè non andava!
Ora funge tutto. Danke e fammi sapre le l'upd così scopro qualcosa di nuovo :D

Ciaoz.-

Matteo