NAT IP Interno para IP Externo para IP Interno

GustavoPru

Boa tarde pessoal.

Estou com um problema há uma semana e ainda não consegui resolver. Eu tenho um WebServer por trás do pfSense (não está em DMZ) e preciso publicar um serviço.

Fiz o NAT do IP externo (ex: 100.90.80.70:8081) para o IP interno (172.16.0.254:80) deste servidor e está funcionando corretamente. Consigo acessá-lo de meio externo perfeitamente.

Porém, preciso que meus clientes internos (172.16.0.0/16) consigam, TAMBÉM, acessar o 172.16.0.254 pelo IP 100.90.80.70:8081. E é aqui que estou travado e não consigo resolver. Abaixo tem uma imagem explicativa do que acontece…

Procurei no Fórum alguma coisa e segui o dito no tópico https://forum.pfsense.org/index.php?topic=45152.0 mão não deu certo.

Eu já deixei ativado as opções "Enable NAT + Proxy" e "Enable automatic outbound NAT for Reflection" em "Advanced: Firewall and NAT".

Na configuração da interface WAN, desmarquei as opções "Block private networks" e "Block bogon networks".

Mesmo assim, não obtive sucesso...

Eu preciso deste tipo de acesso porque o sistema irá mandar e-mails para os usuário e em algumas destas mensagens haverá um Link para ele clicar. Como este meu serviço não está publicado em DNS externo (tipo Prodesp, google, OpenDNS), se eu colocar no e-mail "aaa.exemplo.com" ou "172.16.0.254" o usuário nunca acessará externamente, mas se eu colocar "100.90.80.70:8081", ele acessará. Eu não quero que no e-mail existam dois links.

OBS.: Eu entrei nas configurações do DNS Forwarder e criei um "Host Overrides" para o meu WebServer. Ele está funcionando perfeito, tanto que se os usuário digitarem no navegador "aaa.exemplo.com" será aberto o sistema que estou publicando. Mas isto resolve paliativamente a minha situação.

Alguém pode me ajudar??
![NAT Ajuda.png](/public/imported_attachments/1/NAT Ajuda.png)
![NAT Ajuda.png_thumb](/public/imported_attachments/1/NAT Ajuda.png_thumb)

neobr

Olá,

Tenho o mesmo problema, depois de muito quebrar a cabeça resolvi com o mesmo paliativo no DNS Resolver, o que me faz ter um trabalho dobrado em apontamentos que precisam de acesso interno e externo, mas funciona.

Se alguém tiver uma solução também gostaria de saber :)

[]´s
Eduardo.

tomaswaldow

Se estiver usando Squid precisa cadastrar essa porta em Safe Ports.

GustavoPru

Tomas Waldow, esta opção está configurada, mas no momento parei o serviço do Squid. Ele como o Limiter voltaram a apresentar incompatibilidade. Aí eu preferi controlar a banda a controlar os acessos.

Já tentei diversas coisas mas não funciona. O pior é que me lembro de ter feito isto uma vez com iptables…

JorgeOliveira

Olá,

Esse problema é muito provavelmente devido às definições de NAT Reflection.

Existe um tópico na secção inglesa do fórum aqui:
https://forum.pfsense.org/index.php?topic=109705.msg610783

Esta é a solução:
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

Boa sorte!

Cumprimentos,
Jorge M. Oliveira

GustavoPru

Muito obrigado, Jorge.

Realmente, a forma de "resolver" a questão apresentada pela documentação não contempla portas diferentes da 80, tanto na entrada quanto na saída. Isto me leva a crer que não é possível fazer tal recurso no pfSense.

No tópico em Inglês é possível ver que o problema que eu estou enfrentando é o mesmo do usuário phil.davis.

Bom, mas continuarei pesquisando uma forma.

JorgeOliveira

Andei a "brincar" com 3 VMs

pfSense - WAN: 192.168.111.128 - LAN: 192.168.1.1
Windows XP - 192.168.1.100 - servidor web na porta 80
Windows 7 - 192.168.1.101 - cliente

NAT Reflection mode for port forwards: pure NAT
Enable NAT Reflection for 1:1 NAT: opção marcada
Enable automatic outbound NAT for Reflection: opção marcada

Estas foram as definições que usei e consegui à primeira (vê as imagens em anexo). ;)

Usei pfSense-CE-2.3.1-RELEASE-i386. Também deve funcionar bem na arquitectura amd64.

Cumprimentos,
Jorge M. Oliveira

pfSense-2016-05-19-21-33-45.png_thumb
![Windows 7 x86-2016-05-19-21-28-06.png](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-28-06.png)
![Windows 7 x86-2016-05-19-21-28-06.png_thumb](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-28-06.png_thumb)
![Windows 7 x86-2016-05-19-21-28-52.png](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-28-52.png)
![Windows 7 x86-2016-05-19-21-28-52.png_thumb](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-28-52.png_thumb)
![Windows 7 x86-2016-05-19-21-33-24.png](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-33-24.png)
![Windows 7 x86-2016-05-19-21-33-24.png_thumb](/public/imported_attachments/1/Windows 7 x86-2016-05-19-21-33-24.png_thumb)

DevMachine-2016-05-19-21-37-56.png_thumb

GustavoPru

Boa tarde, JorgeOliveira.

Obrigado pelas dicas. O meu pfSense está da mesma forma que a sua configuração e ainda assim não funciona. Começo a suspeitar que o problema possa ser, talvez, o AMPPS.

Só uma pergunta: o seu NAT está na WAN ou LAN? O meu está na WAN.

JorgeOliveira

O port forward está configurado com a interface WAN. (valor predefinido)

GustavoPru

Pois é, minhas regras estão como as suas, mas ainda assim não funciona. Eu pensei que poderia ser uma questão do próprio webserver mas não é.

De fato eu não sei mais o que posso fazer.