Tengo un firewall pfSense ejecutándose en una configuración bastante estándar, 1 WAN, 1 LAN. En ambos lados del pfsense me gustaría poner a disposición un servicio a través del nombre DNS, digamos "servicio.dominio.com". Para WAN, la entrada de DNS apunta a la dirección IP de WAN de pfsense, y ya configuré una configuración de DNS dividida que funcione para la LAN, de modo que los dispositivos se redirigen a la IP de LAN del servicio.
En el lado WAN, hay un reenvío de puerto desde 443 TCP al puerto 444 TCP en el servidor de destino, por lo que el servicio se ejecuta en un puerto que no es HTTPS (que ya está en uso). El problema comienza cuando intento reflejar esta configuración para el lado LAN de pfSense. Agregué una IP virtual en pfSense, exclusivamente para la configuración de DNS dividida.
Lo que he probado hasta ahora:
Se configuró una regla de reenvío de puertos en el lado LAN (nueva IP virtual 443 TCP -> servidor de destino 444 TCP). El tráfico va al servidor de destino en el puerto correcto y sale del servidor al destino correcto (verificado mediante tcpdump y Microsoft Netmon). El tiempo de espera del cliente (telnet, openssl para pruebas).
Supongo que el cliente recibe el tráfico, pero lo descarta porque no puede asociarlo con una conexión establecida.
Otra prueba fue una NAT 1:1, pero dentro de esta NAT 1:1 no puedo cambiar el puerto de destino, lo cual necesito hacer en esta configuración.
¿Cuál sería la mejor manera de lograr este "reenvío de puertos internos"?
¡Gracias!
Respuesta1
Terminé agregando una regla NAT saliente manual en el firewall:
- Interfaz entrante: LAN
- IP de origen: cualquiera
- Puerto de origen: cualquiera
- Destino: IP de LAN del servidor de destino
- Puerto de destino: puerto del servidor de destino (por ejemplo, 444 TCP)
- Dirección NAT: dirección de interfaz LAN de pfSense
El servicio ahora funciona con DNS de cerebro dividido y reenvío de puertos internos.