Назад | Перейти на главную страницу

Как назначить общедоступный IP-адрес машине за ящиком pfSense с использованием NAT 1: 1?

Это должно быть очень просто, но я не могу заставить его работать. Я, должно быть, делаю что-то глупое.

У меня есть сервер PFsense с публичным IP-адресом. За ним находятся три сегмента LAN:

[ Internet ]  <---> [ pfSense]  
                        +----- 192.168.1.1/24 ---> (multiple servers)
                        +----- 192.168.2.1/24 ---> (multiple servers)
                        +----- 172.16.1.1/24 ---> (multiple machines)

У меня новый сервер с адресом 192.168.1.31 за сервером pfSense, и я хочу дать ему публичный IP. Я предполагал, что сделаю это с NAT 1: 1, но что бы я ни пробовал, это не работает. Вот что я сделал:

  1. В pfSense я добавил виртуальный IP-адрес к интерфейсу WAN с новым общедоступным IP-адресом, который мне нужен. В первый раз я использовал тип «Псевдоним IP».
  2. Я добавил правило NAT 1: 1 с новым общедоступным IP-адресом в качестве внешней подсети, и 192.168.1.31/32 как внутренняя подсеть.
  3. Я добавил правило межсетевого экрана на интерфейс WAN, протокол TCP, пункт назначения 192.168.1.31/32, диапазон портов HTTP - HTTP. Я сделал то же самое для другого порта в 4000-х годах, где я хотел запустить SSH.

После выполнения всего вышеперечисленного я не смог подключиться к новому IP-адресу через HTTP, а также не смог подключиться к новому компьютеру по SSH через альтернативный порт SSH, который я выбрал.

Я изменил виртуальный IP-адрес на "Proxy ARP", а затем на "Other", но ни один из них тоже не работал ...

Как ни странно, я жестяная банка SSH на новый IP-адрес на 22-м порту, если я запустил SSH-сервер на 192.168.1.31:22. Но я не могу попасть в другие порты.

Что я здесь делаю не так?

Если вы не просматривали вики, это хорошее место для начала:

Я почти уверен, что с первого раза вы все сделали правильно. Вам необходимо настроить псевдоним IP на общедоступном интерфейсе. IP-адрес, который вы выбираете для этого псевдонима, конечно же, должен иметь законную маршрутизацию (ваш интернет-провайдер должен был предоставить вам несколько общедоступных IP-адресов).

Можете ли вы получить доступ к командной строке и отредактировать сообщение, чтобы включить в него все правила pf (pfctl -s rules)?