나는 꽤 표준적인 구성, 1 WAN, 1 LAN에서 실행되는 pfSense 방화벽을 가지고 있습니다. pfsense의 양쪽에서 DNS 이름("service.domain.com")을 통해 서비스를 제공하고 싶습니다. WAN의 경우 DNS 항목은 pfsense의 WAN IP 주소를 가리키며 이미 LAN에 대해 작동하는 분할 DNS 구성을 설정했으므로 장치가 서비스의 LAN IP로 리디렉션됩니다.
WAN 측에는 대상 서버의 443 TCP에서 포트 444 TCP로의 포트 전달이 있으므로 서비스는 HTTPS가 아닌 포트(이미 사용 중)에서 실행됩니다. pfSense의 LAN 측에 대해 이 구성을 미러링하려고 하면 문제가 시작됩니다. 분할 DNS 구성 전용으로 pfSense에 가상 IP를 추가했습니다.
내가 지금까지 시도한 것 :
LAN 측에서 포트 전달 규칙을 구성했습니다(새 가상 IP 443 TCP --> 대상 서버 444 TCP). 트래픽은 올바른 포트의 대상 서버로 이동하고 서버를 올바른 대상으로 나갑니다(tcpdump 및 Microsoft Netmon을 통해 확인됨). 클라이언트가 시간 초과되었습니다(텔넷, 테스트용 openssl).
내 생각엔 클라이언트가 트래픽을 수신하지만 설정된 연결과 연결할 수 없기 때문에 트래픽을 버리는 것 같습니다.
또 다른 테스트는 1:1 NAT였지만 이 1:1 NAT에서는 이 구성에서 수행해야 하는 대상 포트를 변경할 수 없습니다.
이 "내부 포트 전달"을 수행하는 가장 좋은 방법은 무엇입니까?
감사해요!
답변1
결국 방화벽에 수동 아웃바운드 NAT 규칙을 추가했습니다.
- 수신 인터페이스: LAN
- 소스 IP: 모두
- 소스 포트: 모두
- 대상: 대상 서버 LAN IP
- 대상 포트: 대상 서버 포트(예: 444 TCP)
- NAT 주소: pfSense LAN 인터페이스 주소
이제 이 서비스는 분할 DNS 및 내부 포트 전달과 함께 작동합니다.