Como atribuo um IP público a uma máquina por trás de uma caixa pfSense usando NAT 1: 1?

7

Isso deve ser simples, mas para minha vida, não consigo trabalhar. Eu devo estar fazendo algo estúpido.

Eu tenho um servidor PFsense com um endereço IP público. Por trás disso, há três segmentos da LAN:

[ Internet ]  <---> [ pfSense]  
                        +----- 192.168.1.1/24 ---> (multiple servers)
                        +----- 192.168.2.1/24 ---> (multiple servers)
                        +----- 172.16.1.1/24 ---> (multiple machines)

Eu tenho um novo servidor com o endereço 192.168.1.31 por trás do servidor pfSense e desejo fornecer um IP público. Presumi que faria isso com um NAT de 1: 1, mas não importa o que tentei, não está funcionando. Aqui está o que eu fiz:

  1. No pfSense, adicionei um IP virtual à interface WAN com o novo IP público que queria. Na primeira vez, usei um tipo "IP Alias".
  2. Eu adicionei uma regra NAT 1: 1 com o novo IP público como a sub-rede externa e 192.168.1.31/32 como a sub-rede interna.
  3. Adicionei uma regra de firewall na interface da WAN, protocolo TCP, destino 192.168.1.31/32 , intervalo de portas HTTP - HTTP . Eu fiz o mesmo para outra porta no 4000s onde eu queria rodar o SSH.

Depois de fazer todos os itens acima, não consegui alcançar o novo IP via HTTP, nem o SSH na nova máquina na porta SSH alternativa que escolhi.

Mudei o IP virtual para "Proxy ARP" e depois para "Other", mas nenhum deles funcionou ...

Curiosamente, eu posso SSH para o novo IP na porta 22, se eu executar o servidor SSH em 192.168.1.31:22 . Mas eu não posso chegar a nenhum outro porto.

O que estou fazendo de errado aqui?

    
por Josh 12.05.2011 / 22:25

1 resposta

4

Se você ainda não consultou o wiki, esse é um bom lugar para começar:

Tenho certeza que você acertou na primeira vez. Você precisa configurar um alias de IP em sua interface voltada para o público. O endereço IP que você escolher para esse alias, obviamente, precisa ser legitimamente roteável (seu ISP deveria ter lhe dado alguns IPs publicamente acessíveis).

Você pode obter acesso à linha de comando e editar sua postagem para incluir a totalidade de suas regras pf (regras pfctl -s)?

    
por 13.05.2011 / 00:29

Tags