Tidak dapat mengakses port TCP melalui alamat NAT 1: 1

0

Pengaturan saya:

  • pfSense - WAN IP 1.2.3.4
  • Server Linux - LAN IP 192.168.1.5.

pfSense diatur ke 1: 1 NAT IP WAN 4.5.6.7 hingga 192.168.1.5, sehingga saya dapat mengakses server Linux dari luar LAN.

Saya dapat membuka 4.5.6.7 untuk permintaan ICMP, dan itu berfungsi dengan baik; Saya dapat melakukan ping ke server Linux menggunakan alamat WAN.

Namun, saya tidak bisa mendapatkan koneksi ke server HTTP yang berjalan pada port 80 di server Linux melalui alamat WAN. Saya 100% yakin saya telah membuka port dengan benar di firewall pfSense. Saya juga telah mencoba menambahkan aturan firewall yang memungkinkan semua lalu lintas, terlepas dari sumber dan tujuan, secara efektif menonaktifkan firewall, dan saya masih tidak dapat mengakses port 80 di server Linux melalui alamat IP WAN.

Untuk meringkas:

192.168.1.5:80 - berfungsi dengan baik

4.5.6.7:80 - mati, meskipun firewall dinonaktifkan

Ian Ling
sumber
Apakah Anda melihat lalu lintas tiba di pfsense pada port 80? Sudahkah Anda menjalankan tcpdump?
Paul
Ya, lalu lintas pasti tiba di pfSense pada port 80, hanya saja tidak pernah berhasil melewati itu. Server Linux tidak menjalankan firewall apa pun, jadi saya cukup yakin saya baru saja salah mengonfigurasi sesuatu di pfSense.
Ian Ling
Bisakah Anda melihat NAT di tabel negara? Di pfctl -ss?
Paul
Ya, baik untuk permintaan masuk, dan untuk permintaan keluar. Alamat 4.5.6.7 dan alamat 192.168.1.5 diterjemahkan bolak-balik, sehingga NAT'ing bekerja dengan benar di kedua arah.
Ian Ling
Sebenarnya, saya sekarang menemukan bahwa bahkan hanya sebuah port forward sederhana tidak berfungsi ... Saya juga sekarang memperhatikan bahwa resolusi DNS tidak berfungsi pada server Linux, tetapi itu berfungsi di pfSense, jadi pertanyaan khusus ini mungkin hanya disebabkan oleh masalah mendasar lainnya.
Ian Ling

Jawaban:

0

Ini sebenarnya menjadi masalah dengan driver NIC virtual Xen dan pfSense 2.2.x. Saya menjalankan pfSense dalam Xen VM.

Lihat: https://forum.pfsense.org/index.php?topic=88467.0

Untuk memperbaikinya, Anda harus menonaktifkan tx checksum offloading di sisi dom0. Jalankan perintah berikut di kedua vif yang digunakan oleh pfSense VM:

ethtool -K vif123.0 tx off

Ganti "123.0" dengan apa pun dua vif Anda.

Ian Ling
sumber