У меня брандмауэр pfSense работает в довольно стандартной конфигурации, 1 WAN, 1 LAN. С обеих сторон pfsense я хотел бы сделать доступной услугу через DNS-имя, скажем "service.domain.com". Для WAN запись DNS указывает на IP-адрес WAN pfsense, и я уже настроил рабочую конфигурацию раздельного DNS для LAN, поэтому устройства перенаправляются на IP-адрес LAN службы.
На стороне WAN существует переадресация порта с 443 TCP на порт 444 TCP на целевом сервере, поэтому служба работает на не HTTPS-порте (который уже используется). Проблема начинается, когда я пытаюсь отразить эту конфигурацию для локальной сети pfSense. Я добавил виртуальный IP-адрес в pfSense исключительно для конфигурации раздельного DNS.
Что я пробовал до сих пор:
Настроил правило переадресации портов на стороне LAN (новый виртуальный IP 443 TCP -> целевой сервер 444 TCP). Трафик идет на целевой сервер на правильный порт и оставляет сервер в правильном месте назначения (проверяется с помощью tcpdump и Microsoft Netmon). Время ожидания клиента истекло (telnet, openssl для тестирования).
Я предполагаю, что клиент получает трафик, но отбрасывает его, потому что он не может связать его с установленным соединением.
Другим тестом был NAT 1: 1, но в рамках этого NAT 1: 1 я не могу изменить порт назначения, что мне нужно сделать в этой конфигурации.
Как лучше всего выполнить эту «внутреннюю переадресацию портов»?
Спасибо!
В итоге я добавил в брандмауэр правило NAT для исходящего трафика вручную:
Сервис теперь работает с раздельным DNS и внутренней переадресацией портов.