Port-Forwarding
拆分 DNS 和內部埠轉發
我有一個以非常標準的配置執行的 pfSense 防火牆,1 個廣域網,1 個區域網路。在 pfsense 的兩側,我想通過 DNS 名稱提供服務,比如說“service.domain.com”。對於 WAN,DNS 入口指向 pfsense 的 WAN IP 地址,並且我已經為 LAN 設置了一個有效的拆分 DNS 配置,因此設備被重定向到服務的 LAN IP。
在 WAN 端,有一個從 443 TCP 到目標伺服器上的 444 TCP 埠的埠轉發,因此服務執行在非 HTTPS 埠(已在使用)上。當我嘗試為 pfSense 的 LAN 端鏡像此配置時,問題就開始了。我在 pfSense 上添加了一個虛擬 IP,專門用於拆分 DNS 配置。
到目前為止我已經嘗試過:
在 LAN 端配置埠轉發規則(新的虛擬 IP 443 TCP –> 目標伺服器 444 TCP)。流量通過正確的埠到達目標伺服器,並將伺服器留給正確的目的地(通過 tcpdump 和 Microsoft Netmon 驗證)。客戶端超時(用於測試的 telnet、openssl)。
我的猜測是,客戶端接收到流量,但將其丟棄,因為它無法將其與已建立的連接相關聯。
另一個測試是 1:1 NAT,但在這個 1:1 NAT 中我不能更改目標埠,我需要在這個配置中做。
完成這種“內部埠轉發”的最佳方法是什麼?
謝謝!
我最終在防火牆中添加了一個手動出站 NAT 規則:
- 輸入介面:區域網路
- 來源IP:任意
- 源埠:任何
- 目的地:目標伺服器 LAN IP
- 目標埠:目標伺服器埠(例如 444 TCP)
- NAT地址:pfSense LAN介面地址
該服務現在可以與裂腦 DNS 和內部埠轉發一起使用。