Port-Forwarding

拆分 DNS 和內部埠轉發

  • September 5, 2018

我有一個以非常標準的配置執行的 pfSense 防火牆,1 個廣域網,1 個區域網路。在 pfsense 的兩側,我想通過 DNS 名稱提供服務,比如說“service.domain.com”。對於 WAN,DNS 入口指向 pfsense 的 WAN IP 地址,並且我已經為 LAN 設置了一個有效的拆分 DNS 配置,因此設備被重定向到服務的 LAN IP。

在 WAN 端,有一個從 443 TCP 到目標伺服器上的 444 TCP 埠的埠轉發,因此服務執行在非 HTTPS 埠(已在使用)上。當我嘗試為 pfSense 的 LAN 端鏡像此配置時,問題就開始了。我在 pfSense 上添加了一個虛擬 IP,專門用於拆分 DNS 配置。

到目前為止我已經嘗試過:

在 LAN 端配置埠轉發規則(新的虛擬 IP 443 TCP –> 目標伺服器 444 TCP)。流量通過正確的埠到達目標伺服器,並將伺服器留給正確的目的地(通過 tcpdump 和 Microsoft Netmon 驗證)。客戶端超時(用於測試的 telnet、openssl)。

我的猜測是,客戶端接收到流量,但將其丟棄,因為它無法將其與已建立的連接相關聯。

另一個測試是 1:1 NAT,但在這個 1:1 NAT 中我不能更改目標埠,我需要在這個配置中做。

完成這種“內部埠轉發”的最佳方法是什麼?

謝謝!

我最終在防火牆中添加了一個手動出站 NAT 規則:

  • 輸入介面:區域網路
  • 來源IP:任意
  • 源埠:任何
  • 目的地:目標伺服器 LAN IP
  • 目標埠:目標伺服器埠(例如 444 TCP)
  • NAT地址:pfSense LAN介面地址

該服務現在可以與裂腦 DNS 和內部埠轉發一起使用。

引用自:https://serverfault.com/questions/929341