Разделение DNS и переадресация внутренних портов
У меня есть брандмауэр pfSense, работающий в довольно стандартной конфигурации, 1 WAN, 1 LAN. С обеих сторон pfsense я хотел бы сделать доступной услугу через DNS-имя, скажем "service.domain.com". Для WAN запись DNS указывает на WAN IP-адрес pfsense, и я уже настроил рабочую конфигурацию раздельного DNS для LAN, поэтому устройства перенаправляются на LAN IP-адрес службы.
На стороне WAN , существует переадресация порта с 443 TCP на порт 444 TCP на целевом сервере, поэтому служба работает на не HTTPS-порте (который уже используется). Проблема начинается, когда я пытаюсь отразить эту конфигурацию для локальной сети pfSense. Я добавил виртуальный IP-адрес в pfSense исключительно для конфигурации раздельного DNS.
Что я пробовал до сих пор:
Настроил правило перенаправления портов на стороне LAN (новый виртуальный IP 443 TCP -> целевой сервер 444 TCP) . Трафик идет к целевому серверу на правильный порт и оставляет сервер в правильном месте назначения (проверяется с помощью tcpdump и Microsoft Netmon). Время ожидания клиента истекло (telnet, openssl для тестирования).
Я предполагаю, что клиент получает трафик, но отбрасывает его, потому что он не может связать его с установленным соединением.
Еще одним тестом был NAT 1: 1, но в пределах этого 1: 1 NAT Я не могу изменить порт назначения, что мне нужно сделать в этой конфигурации.
Как лучше всего выполнить эту «внутреннюю переадресацию порта»?
Спасибо!
В итоге я добавил в брандмауэр правило NAT для исходящего трафика вручную:
- Входящий интерфейс: LAN
- IP-адрес источника: Любой
- Порт источника: Любой
- Назначение: Цель IP-адрес локальной сети сервера
- Порт назначения: Порт целевого сервера (например, 444 TCP)
- Адрес NAT: адрес интерфейса локальной сети pfSense
Служба теперь работает с разделенным DNS и внутренней переадресацией портов.