Eu tenho um firewall pfSense rodando em uma configuração bastante padrão, 1 WAN, 1 LAN. Em ambos os lados do pfsense gostaria de disponibilizar um serviço via nome DNS, digamos "service.domain.com". Para WAN, a entrada DNS aponta para o endereço IP WAN do pfsense, e eu já configurei uma configuração DNS dividida funcional para a LAN, para que os dispositivos sejam redirecionados para o IP LAN do serviço.
No lado da WAN, há um encaminhamento de porta de 443 TCP para a porta 444 TCP no servidor de destino, portanto, o serviço é executado em uma porta não HTTPS (que já está em uso). O problema começa quando tento espelhar essa configuração para o lado LAN do pfSense. Adicionei um IP virtual no pfSense, exclusivamente para configuração de DNS dividido.
O que eu tentei até agora:
Configurada uma regra de encaminhamento de porta no lado da LAN (novo IP virtual 443 TCP -> servidor de destino 444 TCP). O tráfego vai para o servidor de destino na porta correta e sai do servidor para o destino correto (verificado via tcpdump e Microsoft Netmon). O cliente atinge o tempo limite (telnet, openssl para teste).
Meu palpite é que o cliente recebe o tráfego, mas o descarta, pois não consegue associá-lo a uma conexão estabelecida.
Outro teste foi um NAT 1:1, mas dentro desse NAT 1:1 não consigo alterar a porta de destino, o que preciso fazer nesta configuração.
Qual seria a melhor maneira de realizar esse “encaminhamento de porta interna”?
Obrigado!
Responder1
Acabei adicionando uma regra NAT de saída manual no firewall:
- Interface de entrada: LAN
- IP de origem: Qualquer
- Porta de origem: Qualquer
- Destino: IP da LAN do servidor de destino
- Porta de destino: porta do servidor de destino (444 TCP, por exemplo)
- Endereço NAT: endereço da interface LAN do pfSense
O serviço agora funciona com DNS split-brain e encaminhamento de porta interno.