@civdef

Не работает port forwarding, когда на внешнем интерфейсе белый ip предоставляется NATом провайдера, почему?

Здравствуйте, имеется pfsense с двумя интерфейсами, назовём их внутренний и внешний. Провайдер даёт с помощью Nat белый адрес на внешний интерфейс. На сервере выполнен port forwarding с внешнего интерфейса на сервис который находится за внутренним интерфейсом. При обращению на внешний интерфейс port forwarding работает. При обращении на белый ip (который предоставляется с помощью nat) не работает. Почему не отрабатывает такая конфигурация и как сделать чтоб работало?
  • Вопрос задан
  • 231 просмотр
Решения вопроса 2
@Drno
А какой ip показывается ЗА NAT, например на 2ip ?
Может у вас на интерфейсе внутренний IP ?
Ответ написан
Diman89
@Diman89
Может, вам hairpin nat нужен?
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
NeiroNx
@NeiroNx
Программист
понятия NAT и Белый IP - взаимоисключающие. Если у вас NAT - значит у вас не может быть белого IP, а если у вас белый IP и все работает - то это точно не NAT.

Раз не работает - то скорее всего у вас NAT и белым IP даже не пахнет.
Ответ написан
@iddqda
network engineer, netdevops
При обращению на внешний интерфейс port forwarding работает.
ОК
При обращении на белый ip не работает
обращении откуда?
если изнутри, то правильно не работает

смотри
S - внешний адрес сервера
s - внутренний адрес сервера
c - внутренний адрес клиента
(src->dst) - IP пакет с адресами источника и назначения

1. вы посылаете пакет от клиента на внешний адрес сервера (с -> S)
2. пакет проходит файрвол, который делает порт-форвардинг т.е. натит внешний адрес в внутренний
пакет пр(c -> s)
3. сервер получает этот пакет и отвечает пакетом (s->c) т.е. в качестве исходящего адреса используется внутренний адрес сервера.
4. клиент получает пакет от сервера, но он ждет пакет от адреса S а получает от адреса s
поэтому он его отбрасывает и ждет дальше

чтоб побороть такое поведение используют два подхода:
1. hairpinning - это когда используют левую сеть для трансляциии пакетов от внутренних клиентов к внутренним сервисам
2. dnz view когда для внутренних клиентов DNS держит отдельную зону с внутренними адресами.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы