У меня есть брандмауэр pfSense, работающий в довольно стандартной конфигурации, 1 WAN, 1 LAN. С обеих сторон pfsense я хотел бы сделать доступной службу через имя DNS, скажем, "service.domain.com". Для WAN вход DNS указывает на IP-адрес WAN pfsense, и я уже настроил рабочую конфигурацию разделенного DNS для LAN, поэтому устройства перенаправляются на IP-адрес LAN службы.
На стороне WAN есть переадресация портов с 443 TCP на порт 444 TCP на целевом сервере, поэтому служба работает на порту, отличном от HTTPS (который уже используется). Проблемы начинаются, когда я пытаюсь отразить эту конфигурацию для стороны LAN pfSense. Я добавил виртуальный IP на pfSense, исключительно для конфигурации split DNS.
Что я уже попробовал:
Настроил правило переадресации портов на стороне LAN (новый виртуальный IP 443 TCP --> целевой сервер 444 TCP). Трафик идет на целевой сервер на правильный порт и покидает сервер по правильному адресу (проверено через tcpdump и Microsoft Netmon). Клиент отключается по тайм-ауту (telnet, openssl для тестирования).
Я предполагаю, что клиент получает трафик, но отбрасывает его, поскольку не может связать его с установленным соединением.
Другим тестом был 1:1 NAT, но в рамках этого 1:1 NAT я не могу изменить порт назначения, что мне необходимо сделать в этой конфигурации.
Каков наилучший способ осуществления этой «внутренней переадресации портов»?
Спасибо!
решение1
В итоге я добавил вручную правило NAT для исходящего трафика в брандмауэре:
- Входящий интерфейс: LAN
- Исходный IP: Любой
- Исходный порт: любой
- Назначение: IP-адрес локальной сети целевого сервера
- Порт назначения: порт целевого сервера (например, 444 TCP)
- Адрес NAT: адрес интерфейса LAN pfSense
Теперь сервис работает с раздельным DNS и внутренней переадресацией портов.