私は、1 つの WAN、1 つの LAN という標準的な構成で pfSense ファイアウォールを実行しています。pfsense の両側で、DNS 名 (たとえば「service.domain.com」) を介してサービスを利用できるようにしたいと考えています。WAN の場合、DNS エントリは pfsense の WAN IP アドレスを指しており、LAN 用に機能する分割 DNS 構成をすでに設定しているため、デバイスはサービスの LAN IP にリダイレクトされます。
WAN 側では、ターゲット サーバーの 443 TCP からポート 444 TCP へのポート転送があるため、サービスは非 HTTPS ポート (すでに使用中) で実行されます。この構成を pfSense の LAN 側にミラーリングしようとすると、問題が発生します。分割 DNS 構成専用の仮想 IP を pfSense に追加しました。
これまで試したこと:
LAN 側でポート転送ルールを構成しました (新しい仮想 IP 443 TCP --> ターゲット サーバー 444 TCP)。トラフィックは正しいポートでターゲット サーバーに送信され、サーバーから正しい宛先に送信されます (tcpdump および Microsoft Netmon で検証済み)。クライアントがタイムアウトします (テスト用の telnet、openssl)。
私の推測では、クライアントはトラフィックを受信しますが、確立された接続に関連付けることができないため、それを破棄します。
もう 1 つのテストは 1:1 NAT でしたが、この 1:1 NAT 内では宛先ポートを変更できません。これは、この構成で行う必要があります。
この「内部ポート転送」を実現する最善の方法は何でしょうか?
ありがとう!
答え1
最終的に、ファイアウォールに手動の送信 NAT ルールを追加しました。
- 受信インターフェース: LAN
- ソース IP: 任意
- 送信元ポート: 任意
- 宛先: ターゲットサーバのLAN IP
- 宛先ポート: ターゲット サーバー ポート (例: 444 TCP)
- NAT アドレス: pfSense LAN インターフェース アドレス
このサービスは現在、スプリットブレイン DNS と内部ポート転送で動作します。