[ CoyoteKG @ 13.12.2017. 15:22 ] @
Imam jednu public IP adresu od ISP, i jedan fizicki server sa dve virtuelne masine.
Kad bih sumnjao da mi je neki port zatvoren, odnosno nije forwardovan, na TP-Link bih jednostavno stavio taj server u DMZ i to je to.
Ne znam kako ovde da uradim isto.

Vidim neku opciju Firewall / NAT / 1:1
Je l to znaci da tu mogu da demilitarizujem taj jedan server, ili treba jos nesto?


Elem, muče me forward portovi za exchange.
forwardovao sam 587,465,25,995,110,993,143,443,80, ali i dalje mi se poruke zaglavljuju u drafts.
Kad stavim server na tplink u DMZ, funkcioniše bez porblema.

Pa pre nego što krenem u rešavanje problema sa portovima na ovom pfsense, želeo bih da vidim prvo da li će u DMZ da radi kako treba.
[ bachi @ 13.12.2017. 16:36 ] @
DMZ je sasvim drugačiji pojam od onoga što je u tplink svetu. :D

https://doc.pfsense.org/index.php/1:1_NAT

[ CoyoteKG @ 13.12.2017. 17:32 ] @
Ja uradih tako kako piše tu, ali ne mogu da se telnetujem na recimo port 80 na ovom serveru 10.17.1.4

Mogu tek ako uradim port forwarding.




Edit:
OKe, stvarno nije kao tplink DMZ :)
Osim sto odradim 1:1 treba i da napravim firewall rule da propusta na tom portu.

[Ovu poruku je menjao CoyoteKG dana 13.12.2017. u 19:33 GMT+1]
[ bachi @ 13.12.2017. 19:38 ] @
Svakim danom, u svakom pogledu sve više napreduješ. :D
[ CoyoteKG @ 14.12.2017. 08:57 ] @
'si vid'o :)
[ CoyoteKG @ 21.12.2017. 11:40 ] @
Sad imam nov problem sa pfsense.

Imam neku web app na jednom serveru.
Uradio sam port forward sa portom 80 ka tom serveru. I spolja mi funkcionise super, pretpostavljam jer mi je Destination "WAN address", pa sve sta dodje sa tog interface, bude lepo forwardovano na taj server.

E sad... sa klijenata koji su mi u mrezi, ovaj rule mi ne radi, verovatno logicno. Pa zato kad pokusam da otvorim taj site, budem redirektovan na login stranicu pfsense.
Pokusao sam da dodam nov rule, samo da mi bude Destination "LAN Address" i "LAN net", ili "Network" taj lokalni, ali isto, i dalje me kad pozivam iz mreze redirektuje kao samom firewall-u, ne ka tom serveru gde mi je ta web app.
Mislim, resicu tako sto cu da dodam na DNS serveru da pozivanjem tog domena usmerim kao lokalnoj adresi, nego eto, znatizeljan sam kako bi to trebalo da se resi sa pfsense? I kako bi bilo pravilnije
[ bachi @ 21.12.2017. 12:43 ] @
Ako www.nešto.com gađa na spoljnu ip adresu, a ti hoćeš da klijenti u LANu pristupaj web servisu preko te spoljne adrese (koja se posle forwarduje na lokalnu ip adresu), onda prostudiraj nat reflection u pfsenseu.
[ CoyoteKG @ 21.12.2017. 15:32 ] @
U lanu imam IIS server na adresi 10.10.10.2

Public DNS zone www.nesto.com sam usmerio ka public adresi tog pfsense rutera recimo 212.123.90.80
Na pfsense sam napravio port forward rule, da sta god zatrazi nesto na portu 80 da bude usmeren ka 10.10.10.2

I to super radi, kada iz svera pozovem link www.nesto.com.

Ali ako iz mreze u kojoj je taj IIS server, recimo sa IP adrese 10.10.10.99 pozovem www.nesto.com, izgleda taj port forward rule me ne usmeri na 10.10.10.2, nego ka pfsense ruteru koji je na adresi 212.123.90.80.

Resio sam tako sto sam na DNS serveru koji je na 10.10.10.3 kreirao Zonu za www.nesto.com i podesio na adresu 10.10.10.2, i sada radi.

Mene interesuje, da li sam morao to da radim preko DNS, jer imam na tom domenu i drugih rekorda, koji mi sada nisu dostupni, pa cu morati svih tridesetak da dodam na svoj interni DNS. I svaki put kad bude bila promena, moram da azuriram.

Dakle, bilo bi logicnije, da kad iz lokala zatrazim www.nesto.com, da me isto pravilno forwarduje na 10.10.10.2 kao kad to radim "iz sveta".
[ Mile-Lile @ 22.12.2017. 07:54 ] @
ne bi bilo ako nemaš zapis u local DNS (pročitaj rekursivni DNS i autoritativni DNS)... mogao bi samo da te usmeri ka tvojoj javnoj IP adresi tog web servera...
a linux firewall (iptables) po difoltu filtrira takvu radnju odnosno pakete iz lokalnog subneta koji su usmereni ka tvojoj javnoj IP adresu...
kao što reče bachi neko ga zove NAT reflection, neko WAN NAT Redirection (ddwrt), neko Hairpin NAT (Ubiquiti), Reverse NAT (RouterOS)...
[ Mile-Lile @ 22.12.2017. 07:57 ] @
dakle, mogao si da dozvoliš NAT "refleksiju" u firewall-u ili ovo kako si ti uradio sa DNS zapisom... mislim da je bolje kako si sada uradio...
[ CoyoteKG @ 22.12.2017. 09:20 ] @
To je to, hvala. Ipak ostaje ovako sa DNS zapisom.

Bas pomislih da mi pfsense dosta lici na iptables :)