Denuncie   Favoritos   Indicar  

01 02

NAT para uma rede não ligada diretamente ao servidor

13. Re: NAT para uma rede não ligada diretamente ao servidor

Carlos Alberto de Souza Barbosa
souzacarlos
(usa Outra)

Enviado em 11/02/2017 - 11:39h

tiago2001 escreveu:

souzacarlos escreveu:

tiago2001 escreveu:

souzacarlos escreveu:

tiago2001 escreveu:

souzacarlos escreveu:

tiago2001 escreveu:

souzacarlos escreveu:

tiago2001 escreveu:

[quote]souzacarlos escreveu:

Boa tarde
O processo é o mesmo, porém o local é diferente, o PFSense tem o:
Firewall > NAT > Port Forward > Edit

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)


As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.

Pelo o q entendi consegue chegar, mas se perde na volta

Boa tarde, vamos lá
Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
Aguardo


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)



Placas ligadas no servidor:
191.241.xxx.xxx/29
10.8.23.23/27 (rede interna do governo)
192.168.1.1 (rede interna dos computadores)

Existem tráfegos que só funcionam saindo por essa rede do governo.
Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

Consegui explicar?
Obrigado pela ajuda


Boa noite
Vamos ver se entendi, as 3 placas estão em um server adm por vc
Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.

O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso

Pergunta 01 - As regras de NAT para este fim estão criadas?
Pergunta 02 - Rotas, estão configuradas adequadamente?

Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local




Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)


Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.

Resposta 1: Está assim em um dos NAT's
interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

Resposta 2: Tenho uma rota assim
network gateway interface
10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA

----
Regra criada automaticamente com o NAT

Protocol sou port destina port GW
IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *

Valeu mesmo pela ajuda

Boa noite
Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
Aguardo


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)



Estou tentando liberar a port 587 e 110.
Eu utiliza antes linux e funcionava com iptables, usava assim:

eth0 -> acesso externo
eth1 -> rede 10

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

Boa noite
Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.

Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
< iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >

Espero ter sido claro na explicação!
Aguardo

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)


Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
10.8.23.23/27 ---------------- 10.8.23.74/27
De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
Exatamente o mesmo problema, com o linux também funcionava.


[/quote]
Entendi, meio complexo teu cenário, a dica é utilizar uma solução de L3 que vc domine para não ter essas dores de cabeça, a pergunta é: pq PFSense? Já ouviu falar em Mikrotik?
Caso queira pode add os contatos abaixo para gente trocar mais informações e descobrindo a solução a gente posta aqui pra registro.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

0 0
  • Quote

    •   


    14. Migração

    Tiago Prado
    tiago2001
    (usa Debian)

    Enviado em 11/02/2017 - 20:24h

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    Boa tarde
    O processo é o mesmo, porém o local é diferente, o PFSense tem o:
    Firewall > NAT > Port Forward > Edit

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.

    Pelo o q entendi consegue chegar, mas se perde na volta

    Boa tarde, vamos lá
    Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Placas ligadas no servidor:
    191.241.xxx.xxx/29
    10.8.23.23/27 (rede interna do governo)
    192.168.1.1 (rede interna dos computadores)

    Existem tráfegos que só funcionam saindo por essa rede do governo.
    Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
    Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

    Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

    Consegui explicar?
    Obrigado pela ajuda


    Boa noite
    Vamos ver se entendi, as 3 placas estão em um server adm por vc
    Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.

    O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso

    Pergunta 01 - As regras de NAT para este fim estão criadas?
    Pergunta 02 - Rotas, estão configuradas adequadamente?

    Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.

    Resposta 1: Está assim em um dos NAT's
    interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
    WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

    Resposta 2: Tenho uma rota assim
    network gateway interface
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA

    ----
    Regra criada automaticamente com o NAT

    Protocol sou port destina port GW
    IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *

    Valeu mesmo pela ajuda

    Boa noite
    Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Estou tentando liberar a port 587 e 110.
    Eu utiliza antes linux e funcionava com iptables, usava assim:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Boa noite
    Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
    Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.

    Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
    < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >

    Espero ter sido claro na explicação!
    Aguardo

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
    Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
    Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
    10.8.23.23/27 ---------------- 10.8.23.74/27
    De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
    No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
    Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
    Exatamente o mesmo problema, com o linux também funcionava.


    [/quote]
    Entendi, meio complexo teu cenário, a dica é utilizar uma solução de L3 que vc domine para não ter essas dores de cabeça, a pergunta é: pq PFSense? Já ouviu falar em Mikrotik?
    Caso queira pode add os contatos abaixo para gente trocar mais informações e descobrindo a solução a gente posta aqui pra registro.

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    É que estou migrando tudo para o pfsense, e estou achando ele ótimo, só estou com esse problema... Não consigo fazer o NAT se a rede não estiver ligada diretamente no servidor.


    0 0
  • Quote

    • 15. Re: NAT para uma rede não ligada diretamente ao servidor

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 11/02/2017 - 21:33h

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    Boa tarde
    O processo é o mesmo, porém o local é diferente, o PFSense tem o:
    Firewall > NAT > Port Forward > Edit

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.

    Pelo o q entendi consegue chegar, mas se perde na volta

    Boa tarde, vamos lá
    Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Placas ligadas no servidor:
    191.241.xxx.xxx/29
    10.8.23.23/27 (rede interna do governo)
    192.168.1.1 (rede interna dos computadores)

    Existem tráfegos que só funcionam saindo por essa rede do governo.
    Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
    Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

    Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

    Consegui explicar?
    Obrigado pela ajuda


    Boa noite
    Vamos ver se entendi, as 3 placas estão em um server adm por vc
    Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.

    O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso

    Pergunta 01 - As regras de NAT para este fim estão criadas?
    Pergunta 02 - Rotas, estão configuradas adequadamente?

    Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.

    Resposta 1: Está assim em um dos NAT's
    interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
    WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

    Resposta 2: Tenho uma rota assim
    network gateway interface
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA

    ----
    Regra criada automaticamente com o NAT

    Protocol sou port destina port GW
    IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *

    Valeu mesmo pela ajuda

    Boa noite
    Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Estou tentando liberar a port 587 e 110.
    Eu utiliza antes linux e funcionava com iptables, usava assim:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Boa noite
    Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
    Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.

    Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
    < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >

    Espero ter sido claro na explicação!
    Aguardo

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
    Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
    Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
    10.8.23.23/27 ---------------- 10.8.23.74/27
    De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
    No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
    Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
    Exatamente o mesmo problema, com o linux também funcionava.


    [/quote]
    Entendi, meio complexo teu cenário, a dica é utilizar uma solução de L3 que vc domine para não ter essas dores de cabeça, a pergunta é: pq PFSense? Já ouviu falar em Mikrotik?
    Caso queira pode add os contatos abaixo para gente trocar mais informações e descobrindo a solução a gente posta aqui pra registro.

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    É que estou migrando tudo para o pfsense, e estou achando ele ótimo, só estou com esse problema... Não consigo fazer o NAT se a rede não estiver ligada diretamente no servidor.
    [/quote]
    Boa noite
    NAT é para redes ligadas diretamente ao Router!
    Para redes que precisam passar pelo teu firewall para chegar a um destino (ATRAVESSAM TEU FIREWALL) vc deve utilizar rotas

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)

    0 0
  • Quote

    • 16. Rota

    Tiago Prado
    tiago2001
    (usa Debian)

    Enviado em 12/02/2017 - 01:42h

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    Boa tarde
    O processo é o mesmo, porém o local é diferente, o PFSense tem o:
    Firewall > NAT > Port Forward > Edit

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.

    Pelo o q entendi consegue chegar, mas se perde na volta

    Boa tarde, vamos lá
    Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Placas ligadas no servidor:
    191.241.xxx.xxx/29
    10.8.23.23/27 (rede interna do governo)
    192.168.1.1 (rede interna dos computadores)

    Existem tráfegos que só funcionam saindo por essa rede do governo.
    Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
    Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

    Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

    Consegui explicar?
    Obrigado pela ajuda


    Boa noite
    Vamos ver se entendi, as 3 placas estão em um server adm por vc
    Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.

    O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso

    Pergunta 01 - As regras de NAT para este fim estão criadas?
    Pergunta 02 - Rotas, estão configuradas adequadamente?

    Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.

    Resposta 1: Está assim em um dos NAT's
    interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
    WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

    Resposta 2: Tenho uma rota assim
    network gateway interface
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA

    ----
    Regra criada automaticamente com o NAT

    Protocol sou port destina port GW
    IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *

    Valeu mesmo pela ajuda

    Boa noite
    Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Estou tentando liberar a port 587 e 110.
    Eu utiliza antes linux e funcionava com iptables, usava assim:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Boa noite
    Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
    Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.

    Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
    < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >

    Espero ter sido claro na explicação!
    Aguardo

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
    Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
    Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
    10.8.23.23/27 ---------------- 10.8.23.74/27
    De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
    No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
    Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
    Exatamente o mesmo problema, com o linux também funcionava.


    [/quote]
    Entendi, meio complexo teu cenário, a dica é utilizar uma solução de L3 que vc domine para não ter essas dores de cabeça, a pergunta é: pq PFSense? Já ouviu falar em Mikrotik?
    Caso queira pode add os contatos abaixo para gente trocar mais informações e descobrindo a solução a gente posta aqui pra registro.

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    É que estou migrando tudo para o pfsense, e estou achando ele ótimo, só estou com esse problema... Não consigo fazer o NAT se a rede não estiver ligada diretamente no servidor.
    [/quote]
    Boa noite
    NAT é para redes ligadas diretamente ao Router!
    Para redes que precisam passar pelo teu firewall para chegar a um destino (ATRAVESSAM TEU FIREWALL) vc deve utilizar rotas

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    Tenho a seguinte rota estatica

    Network Gateway Interface Description
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA fora para rede 10


    0 0
  • Quote

    • 17. Re: NAT para uma rede não ligada diretamente ao servidor

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 13/02/2017 - 19:55h

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    souzacarlos escreveu:

    tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    [quote]tiago2001 escreveu:

    [quote]souzacarlos escreveu:

    Boa tarde
    O processo é o mesmo, porém o local é diferente, o PFSense tem o:
    Firewall > NAT > Port Forward > Edit

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    As redes internas que estão ligadas diretamente no servidor funciona o redirecionamento, isso eu já uso, mas pelo fato de n estar ligada diretamente no servidor n funciona.

    Pelo o q entendi consegue chegar, mas se perde na volta

    Boa tarde, vamos lá
    Então a rede em questão não está ligada diretamente ao servidor, então seu problema não é com NAT e sim com rotas. Mesmo assim explique melhor esse "Não ligado diretamente ao server" Existe um outro router ligando a esta rede? Ou é uma VLAN que está fazendo com q seja outra rede, passa mais info
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Placas ligadas no servidor:
    191.241.xxx.xxx/29
    10.8.23.23/27 (rede interna do governo)
    192.168.1.1 (rede interna dos computadores)

    Existem tráfegos que só funcionam saindo por essa rede do governo.
    Entao na minha placa interna eu coloco que qq saída para rede 10.0.0.0/8 saia por esse link.
    Internamente eu chego nesse IP 10.8.1.9 (o acesso n é direto, passa por diversos routers q n tenho acesso).

    Eu preciso chamar esse IP externo em algumas portas específicas e ele tem q direcionar para esse IP 10.8.1.9 que tem q sair por esse link do governo.

    Consegui explicar?
    Obrigado pela ajuda


    Boa noite
    Vamos ver se entendi, as 3 placas estão em um server adm por vc
    Quando vc está tentando acessar algo interno via gateway 192.168.1.1 e com destino a 10.8.1.9 vc consegue de boa.

    O problema esta quando vc precisa que um agente externo via (WAN) por ex acesse um recurso neste host 10.8.1.9. Acho que é isso

    Pergunta 01 - As regras de NAT para este fim estão criadas?
    Pergunta 02 - Rotas, estão configuradas adequadamente?

    Porque não existe problema com o Host destino, uma vez que ele entrega a resposta quando a requisição vem da sua rede local




    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Perfeitos, inclusive eu tenho alguns NAT's configurados, o IP externo para um acesso via RDP para uma maquina minha interna.

    Resposta 1: Está assim em um dos NAT's
    interface protocol s.addre s.port dest. address dest. port NAT IP NAT PORTS
    WAN_FIBRA TCP/UDP * * WAN FIBRA address 110 (POP3) 10.8.1.9 110 (POP3)

    Resposta 2: Tenho uma rota assim
    network gateway interface
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA

    ----
    Regra criada automaticamente com o NAT

    Protocol sou port destina port GW
    IPv4 TCP/UDP * * 10.8.1.9 110 (POP3) *

    Valeu mesmo pela ajuda

    Boa noite
    Bom saber q já existem outras regras criadas para este destino. Qual serviço/porta em questão vc tá tentando liberar? Já se perguntou que pode existir alguma regra de bloqueio para este serviço/porta para conexões vindas da Internet?
    Aguardo


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)



    Estou tentando liberar a port 587 e 110.
    Eu utiliza antes linux e funcionava com iptables, usava assim:

    eth0 -> acesso externo
    eth1 -> rede 10

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -d 191.241.xxx.xxx -p tcp --dport 587 -j DNAT --to 10.8.1.9
    iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx

    Boa noite
    Pela infra que vc passou eu não utilizaria MASQUERADE para a rede 10, ao que entendi vc apenas utiliza serviços específicos em alguns hosts, para isso utlizaria rotas no teu firewall.
    Para tratar retorno de conexão < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx > experimente o que temos no iptables como:

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    Para tratar o estado da conexão e vincular a volta. Isso partindo do principio que vc tem políticas de bloqueio no teu firewall.

    Obs: Lembre que como vc criou um MASQUERADE ele vai se comprometer em "natear" tudo que sair na ETH0 - Logo vc não precisa desta regra
    < iptables -t nat -A POSTROUTING -s 10.8.1.9 -p tcp --sport 587 -j SNAT --to 191.241.xxx.xxx >

    Espero ter sido claro na explicação!
    Aguardo

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)


    Mudei para o PFSENSE esse firewall, preciso que funcione nele, no linux já funcionava. Não sei como fazer funcionar isso no PfSense.
    Tenho outro caso que é bem parecido que tb não funcionou o NAT, seria o seguinte:
    Uma VPN, interligada assim: (essa rede interna trafega pela internet em LP)
    10.8.23.23/27 ---------------- 10.8.23.74/27
    De um lado eu tenho a rede 192.168.1.0/24 e no outro lado eu tenho 192.168.2.0/24
    No lado que tenho a rede 10.8.23.0/27 tenho também aquele link 191.241.xxx.xxx
    Faço o NAT de alguma porta entrando por 191.241.xxx.xxx para a rede 192.168.1.0/24 funciona normal, agora se faço para rede 192.168.2.0 que está do outro lado da VPN também não funciona.
    Exatamente o mesmo problema, com o linux também funcionava.


    [/quote]
    Entendi, meio complexo teu cenário, a dica é utilizar uma solução de L3 que vc domine para não ter essas dores de cabeça, a pergunta é: pq PFSense? Já ouviu falar em Mikrotik?
    Caso queira pode add os contatos abaixo para gente trocar mais informações e descobrindo a solução a gente posta aqui pra registro.

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    É que estou migrando tudo para o pfsense, e estou achando ele ótimo, só estou com esse problema... Não consigo fazer o NAT se a rede não estiver ligada diretamente no servidor.
    [/quote]
    Boa noite
    NAT é para redes ligadas diretamente ao Router!
    Para redes que precisam passar pelo teu firewall para chegar a um destino (ATRAVESSAM TEU FIREWALL) vc deve utilizar rotas

    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)[/quote]


    Tenho a seguinte rota estatica

    Network Gateway Interface Description
    10.0.0.0/8 WAN_SECRETARIAGW - 10.8.23.1 WAN_SECRETARIA fora para rede 10
    [/quote]
    Boa noite
    Desculpas na demora em responder, dia enrolado.
    Essa linguagem do PFsense é meio estranha pra mim como ele apresenta a rota, faz o seguinte tem meus contatos aqui abaixo, caso queira pode add, a gente troca uma ideia e depois coloca a solução aqui, acho q assim ficará mais fácil de entender teu problema.


    Network Analyst - Consultor para empresas
    contact skype: carlossouzainfo
    21 99180-8165 (WhattsApp)

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

    Os navegadores "leves" que de leves não tem nada

    Liberte-se: Crie um Servidor Proxy na Nuvem para Acessar Conteúdos Bloqueados

    Run0 - Elevação de privilégios com systemd

    Dicas

    Deixando o Opensuse Tumbleweed com KDE bonitão

    Estrutura de recuo PHP/Apache para não acessarem arquivos pela URI (barra de endereços)

    Escanear a rede com NBTSCAN para descobrir IPs e nomes de computadores

    Como instalar ou remover ambientes gráficos facilmente no openSUSE

    Alternativa para Habilitar Hibernação no Lubuntu ou Ubuntu

    Tópicos

    Mensagem por API Venom-Bot no Zabbix (5)

    Atualizar Bios notebook samsung pelo linux (1)

    Magento (2)

    O que anda lendo? (2)

    Timeshift restauração (2)

    Top 10 do mês

    Scripts

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    [Shell Script] Telegram direto do site

    [Shell Script] Pós-instalação do openSUSE Tumbleweed

    [Shell Script] Jogo da velha em rede local

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: