我有一個 pfSense 防火牆,以非常標準的配置運行,1 個 WAN,1 個 LAN。在 pfsense 的兩側,我想透過 DNS 名稱提供可用服務,例如「service.domain.com」。對於 WAN,DNS 條目指向 pfsense 的 WAN IP 位址,並且我已經為 LAN 設定了工作分割 DNS 配置,因此裝置被重定向到服務的 LAN IP。
在 WAN 端,目標伺服器上存在從 443 TCP 到連接埠 444 TCP 的連接埠轉發,因此該服務在非 HTTPS 連接埠(已在使用中)上執行。當我嘗試為 pfSense 的 LAN 端鏡像此配置時,麻煩就開始了。我在 pfSense 上新增了一個虛擬 IP,專門用於拆分 DNS 配置。
到目前為止我已經嘗試過:
在 LAN 端配置了連接埠轉送規則(新虛擬 IP 443 TCP --> 目標伺服器 444 TCP)。流量透過正確的連接埠到達目標伺服器,並離開伺服器到達正確的目的地(透過 tcpdump 和 Microsoft Netmon 進行驗證)。客戶端逾時(telnet、openssl 用於測試)。
我的猜測是,客戶端收到流量,但將其丟棄,因為它無法將其與已建立的連線關聯起來。
另一個測試是 1:1 NAT,但在這個 1:1 NAT 中我無法更改目標端口,而我需要在此配置中執行此操作。
完成這種「內部連接埠轉送」的最佳方法是什麼?
謝謝!
答案1
我最終在防火牆中新增了手動出站 NAT 規則:
- 傳入介面:LAN
- 來源IP:任意
- 來源連接埠:任意
- Destination:目標伺服器LAN IP
- 目標連接埠:目標伺服器連接埠(例如 444 TCP)
- NAT 位址:pfSense LAN 介面位址
該服務現在可與裂腦 DNS 和內部連接埠轉送搭配使用。