tiago2001
(usa Debian)
Enviado em 11/02/2017 - 00:23h
souzacarlos escreveu:
tiago2001 escreveu:
souzacarlos escreveu:
tiago2001 escreveu:
souzacarlos escreveu:
tiago2001 escreveu:
souzacarlos escreveu:
tiago2001 escreveu:
souzacarlos escreveu:
Boa tarde
O processo é o mesmo, porém o local é diferente, o PFSense tem o:
Firewall > NAT > Port Forward > Edit
Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)
As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.
Pelo o q entendi consegue chegar, mas se perde na volta
Boa tarde, vamos lá
Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
Aguardo
Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)
Placas ligadas no servidor:
191.241.xxx.xxx/29
10.8.23.23/27 (rede interna do governo)
192.168.1.1 (rede interna dos computadores)
Existem tráfegos que só funcionam saindo por essa rede do governo.
Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).
Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.
Consegui explicar?
Obrigado pela ajuda
Boa noite
Vamos ver se entendi, as 3 placas estão em um server adm por vc
Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.
O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso
Pergunta 01 - As regras de NAT para este fim estão criadas?
Pergunta 02 - Rotas, estão configuradas adequadamente?
Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local
Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)
Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.
Resposta 1: Está assim em um dos NAT's
interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)
Resposta 2: Tenho uma rota assim
network gateway interface
10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA
----
Regra criada automaticamente com o NAT
Protocol sou port destina port GW
IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *
Valeu mesmo pela ajuda
Boa noite
Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
Aguardo
Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)
Estou tentando liberar a port 587 e 110.
Eu utiliza antes linux e funcionava com iptables, usava assim:
eth0 -> acesso externo
eth1 -> rede 10
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx
Boa noite
Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.
Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
< iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >
Espero ter sido claro na explicação!
Aguardo
Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)
Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
10.8.23.23/27 ---------------- 10.8.23.74/27
De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
Exatamente o mesmo problema, com o linux também funcionava.
