.png)
Eu tenho um firewall/roteador pfSense que está expondo alguns serviços ao meu ip público.
Isso está funcionando bem, desde que o serviço esteja na sub-rede LAN primária ( 192.168.1.0/24), vamos chamá-loLAN-A.
Por exemplo, isso funciona:
public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (reverse proxy)
Além disso, tenho uma segunda LAN 192.168.88.0/24, vamos chamá-laLAN-B, que está por trás de umMikrotikroteador ligado 192.168.1.111. No pfSense eu tenho uma rota estática para a rede 192.168.88.0/24especificando 192.168.1.111como gateway para ela.
DeLAN-AAgora posso me conectar a hosts emLAN-B, por exemplo 192.168.88.10, de forma transparente, o mesmo que para hosts emLAN-A(além de um problema estranho comssh mencionado aqui, ainda sem solução). (Anfitriões emLAN-Btambém pode se conectar à internet normalmente, porque oMikrotikroteador especifica a pfSensecaixa 192.168.1.1como gateway para seus clientes).
Até agora tudo bem. Mas agora quero expor um serviço emLAN-B, digamos 192.168.88.10:10000via NAT no meu IP externo. Então eu faço o mesmo normalmente:
public_ip:10000 -> pfSense (NAT+Rule) -> 192.168.88.10:10000
Isso, no entanto, não funciona (e nmapde fora mostra a porta como filtered, onde está dentro da LAN open). Parece que a lógica NAT não conhece minha rota estática?
Parece um tanto lógico, porque a rota estática "vive" no escopo da minha interface local ( LANBRIDGE) do pfSense, e do firewall (NAT) entre WANe LANBRIDGE, então provavelmente não sabe a conexão que 192.168.88.0/24passa por 192.168.1.111. Mas como fazer isso funcionar?
Responder1
Encontrou o problema (para referência posterior e possivelmente ajuda outras pessoas):
A configuração descrita (OP) está ok ao pfSenselado.
O problema era que oMikrotikO roteador deve encaminhar (cadeia de encaminhamento) para os endereços de origem reais (ou seja, aqueles que se conectam ao IP externo), que seriam 0.0.0.0/0e não apenas endereços 192.168.1.0/24. Por razões de segurança, a regra de encaminhamento pode ser limitada a determinadas portas, se necessário.