使用 PFSense ver:2.0-RC1 (i386)
在 pfsense 中更改现有 NAT 规则时,我发现该规则在以下情况下不起作用: 1. 规则存在但更改了其端口号或目标 LAN ip 或两者都更改 2. 映射是使用 pfsense 负载平衡完成的,但那是禁用改为使用 NAT。
在上述两种情况下,我总是不得不重新启动防火墙。好像是系统中的错误。
我目前的情况如下:
存在的规则:src-any:port1 --nat--> lan-ip1:port2
规则修改为:src-any:port1 --nat--> lan-ip1:port3
规则已更改并加载。我也从 shell 进行了验证。它显示了更改后的 nat 设置。但是连接失败。我从 web-gui 进行了重置状态,但那一时奏效,后来失败了。
我已检查 LAN 网络并发现该服务正常工作。它仅从 Internet 失败,中间有防火墙。
是否有任何 shell/cli 方法可以使我正常工作。任何可以在这里帮助我的 freebsd/pfsense 命令。因为,直到午夜(允许停机)我才能重新启动防火墙。
我有一些关于带有防火墙和 NAT 的 FTP 的基本问题,我希望有人可以帮助我 :)
我把它们分成不同的场景:
没有 NAT 的主动 FTP
设置:
服务器 1.2.3.4,默认端口;客户端 1.2.3.5,端口:3141(cmd)、3142(数据)
客户端:3141 连接到服务器:20
服务器:20 响应客户端:3141
服务器:21 连接到客户端:3142
这在实践中通常如何解决?我可以想到以下可能性:
我假设在所有这些解决方案中,客户端将始终使用两个连续的端口 - 这是真的吗?
使用 NAT 的主动 FTP
设置:
服务器 1.2.3.4 默认端口;客户端 192.168.0.2,端口 3141、3142;路由器,1.2.3.5 和 192.168.0.1
Client:3141 通过 192.168.0.1 连接到 1.2.3.4:20
Server:20 对 1.2.3.5:ARBITRARY 的响应 - 由于存在 SNAT 被传送到 192.168.0.2:3141
Server:21 连接到 1.2.3.5:(ARBITRARY+1) - 路由器从哪里知道这个数据包属于谁?
带有 NAT 的被动 FTP
服务器在路由器后面 - 路由器从哪里知道在任意端口上接收的数据包是给 FTP …
我使用 Linux 盒子作为路由器:
Box 有 2 个公共 ip 和本地 ip,我使用 natting 来允许本地用户访问网络。
当本地用户访问网络时,源解析发生在这里,通过公共接口的数据包是通过 OUTPUT 链还是通过 Forward 链进行检查?
对于已建立会话的返回数据包,他们是否通过 INPUT 或转发链进行检查?
最后一件事:将我视为本地用户,数据包将像这样
PC ---> LinuxBox 本地接口 ---> Linux Box 公共接口 ----> 外部世界。
当数据包返回时:
外部字---->公共接口---->本地接口----->PC
如果我想在数据包从本地接口移动到 PC 时对其应用规则,我应该使用 FORWARD 链还是 OUTPUT 链?
你怎么认为 ??
我想构建一个动态创建 VM 并为每个 VM 分配公共 DNS 记录的服务,该记录可以是完整域或子域。假设所有 VMS 都位于单个主机上。VM 将使用各种端口在其上运行混合的 TCP 或 UDP 公开服务。主机有一个公共IP地址。
我可以使用 NAT 将域路由到 VM 吗,或者我是否需要更多公共 IP 地址来进行此设置?
其他虚拟化托管公司如何做到这一点?他们有更多的IP块吗?
我的 Linux 服务器上有一个 VPN,它执行 IPv4 NAT,例如:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 1.2.3.4
但是,我想为每个内部 10.8.0.0/24 ip 设置静态临时端口范围,以便更轻松地记录哪个客户端连接到哪个客户端,这可以使用 iptables 吗?
例如,端口 1000-2500 将是 10.8.0.10 使用的临时端口,10000-20000 将用于 10.8.0.20 等。
我已经搜索过谷歌,但找不到任何东西。
我有来自 ISP 的 Internet 连接,并获得了 8 个 IP 的静态 IP 池和 5 个有用的 IP...
现在我想建立以下网络
ISP -> Mikrotik 路由器 -> 交换机 ===> Web 服务器和 LAN
现在我的 Web 服务器使用所有四个 IP,一个 Live IP 将在 Mikrotik 路由器中配置。
我的问题是通过分配的静态公共 IP 访问所有服务器并且还希望使用具有私有 IP 的 LAN 的正确方法是什么。
我应该使用 NAT、PAT 或端口转发,还是有任何其他更好的技术以及如何去做..
我们有一个客户端,在他们的 LAN 上有一个 192.170.130/24 子网,它正在从他们的 ISP NAT 到 WAN IP 地址。这是一个好主意还是他们应该在他们的 LAN 上使用 RFC1918 地址?
谢谢
我想知道当数据包离开 NAT 时是否会留下原始来源的痕迹。
\n让\xe2\x80\x99s 说我从我的机器向公共服务器发出一系列 DNS 请求。I\xe2\x80\x99m 在 NAT 后面。服务器能否以某种方式看到这些请求来自同一台机器?例如,当 NAT\xe2\x80\x99 来自同一台计算机时,NAT 是否会重用源端口?
\n我在VMWare Workstation 7 中安装了 Ubuntu 。我的主机(Windows Vista Home Premium Service Pack 2)和来宾计算机使用 NAT 连接进行连接。现在我想使用 SSH 连接将 Guest OS (Ubuntu) 与安装在我的主机操作系统中的Putty连接起来。我必须在 Ubuntu、Vista 和 Putty 中进行哪些设置?
-编辑-
按sreimer的指示我安装openssh-server。现在,当我尝试使用 putty 进行连接时,发生了同样的错误:
Putty 致命错误 - 网络错误:连接被拒绝
出于 PCI-DSS 合规性的目的,我被要求查看是否有一个小型消费者路由器/等可以接受来自一个网段的数据包,并更改目标 IP 地址(从自身更改为新 IP)并更改源地址(从原来的源到路由器的IP),然后在第二个网段发送出去。
作为(简化)示例:
我在 IP 1.1.1.1 上有一个 POS
它“知道”2.2.2.2 上的信用卡处理设备
它(POS)发送一个数据包[从:1.1.1.1]到2.2.2.2
但是2.2.2.2实际上是一个代理路由器。真正的信用卡处理设备在3.3.3.3。
代理路由器将目标 IP 更改为:3.3.3.3,并且为了合规性,将源地址更改为 2.2.2.2,并将该数据包传递到实际的信用卡处理设备。
设备处理数据,并将响应发送回 [from: 3.3.3.3] 到 2.2.2.2,这当然是代理路由器。代理路由器将源转换为 2.2.2.2,将目标转换为 1.1.1.1 并将其发送回 POS。
我知道我可以用一对背对背连接的 NAT 路由器以一种丑陋的方式解决这个问题,但我希望有一个更优雅的修复方法。
谢谢