pfSense2.32端口转发设置

pfSense上的端口转发是一个相当简单的过程。以前版本添加端口转发时,还必须添加防火墙规则,以便流量转发到端口指定的内部IP地址。 现在在创建端口转发定义时可以自动添加此规则,并且默认情况下已启用该选项。

端口转发设置

导航到Firewall>NAT>Port Forward。

下面对端口转发设置的各个字段进行逐一解释:

  • Disabled:     允许端口转发条目被禁用,而不从配置中删除它。
  • No  RDR: 反向重定向流量匹配这里指定的内容。 对于高级配置,通常应该取消选中。
  • Interface: 流量发生的接口,通常是WAN
  • Protocol:要转发的流量的协议。
  • Source: 允许匹配流量的特定原始来源,并隐藏在高级按钮后面,因为在大多数情况下,它应该是“any”,允许所有Internet主机通过。 使用TCP和/或UDP时的源端口范围,几乎总是“any”。源端口与目的端口不同,通常是1024-65535之间的随机端口。
  • Destination: 指定流量的原始目标IP地址,通常为WAN地址。
  • Destination  Port Range: 指定流量的原始目的端口,即外部端口要转发的端口范围。
  • Redirect  target IP: 该流量将被转发的内部IP地址。
  • Redirect  Target Port: 此流量将被转发的内部端口,通常与Destination     Port Range(目标端口范围)中定义的外部端口相同。 如果一个范围内的多个端口用于目的端口范围,则这是起始端口的范围,因为它必须是相同的大小范围。
  • Description: 描述说明供管理员参考。
  • No  XMLRPC Sync: 防止同步到其他CARP成员。
  • NAT reflection:允许在端口转发时启用或禁用NAT回流。如果在内网通过外网地址来测试内网映射端口,一定要选择启用回流(NAT+Proxy)。
  • Filter rule association: 将流量从指定的源发送到指定的目的地,并将其重定向到指定的目标IP和端口,进入所选接口,使用指定的协议。

实例教程(pfsense2.34中文版):

进入防火墙-地址转换-端口转发,选择添加。把WAN1口上的5001端口转发到内部192.168.111.190主机上。

已经设置好了。

这是WAN1上的防火墙规则,在做端口转发的时候也自动就添加了。

故障排查

端口转发时遇到问题,请尝试按以下操作来解决问题。

1. 端口转发不在内部工作,除非启用了 NAT reflection(NAT回流)。 始终从网络外部(例如从另一个位置的系统)或从3G / 4G设备向外测试端口。

2.编辑NAT条目流量通行的防火墙规则,并启用日志记录。保存并应用更改。 然后尝试从外面再次访问它。检查防火墙日志 (Status > System LogsFirewall 选项卡) 看看流量是否显示为允许或拒绝。

3. 在Diagnostics > States检查下面的状态表, 过滤源,目的地或端口号,以查看是否存在任何条目。 如果存在与端口转发的NAT匹配的条目,则防火墙正确接受和转发流量,可以排除防火墙设置问题,请查看内部问题(例如,客户端防火墙等,见下文)。

4. 使用数据包捕获或tcpdump来查看网络上发生的情况。这是找到问题的最佳方式,但需要最多的网络专业知识。 导航到Diagnostics > Packet Capture 以捕获流量,或者从shell使用tcpdump。 从WAN接口开始,并使用过滤器进行相应的协议和端口。尝试从网络外部进行访问,看看是否显示。 如果没有,则ISP可能阻塞流量,或者如果涉及到虚拟IP,则可能配置不正确。 如果在WAN接口上看到流量,切换到内部接口并执行类似的捕获。如果流量没有离开内部接口,则会出现NAT或防火墙规则配置问题。 如果离开界面,并且没有从目标机器返回的流量,目标系统的默认网关可能丢失或不正确,它可能不会在该端口上侦听,或者可能有本地防火墙(Windows防火墙,IP表 )阻止流量。 对于某些类型的流量返回流量可能会显示主机未在该端口上侦听。对于TCP,这可能是TCP RST。 对于UDP,它可能是ICMP无法访问的消息。

常见问题

1. NAT和防火墙规则未正确添加

注意:不要设置源端口

2. 在客户机上启用了防火墙

3. 客户端机器不使用pfSense作为其默认网关

4.客户端机器实际上没有正在侦听正在转发的端口

5. ISP或pfSense上游的某个端口正在阻止正在转发的端口

6. 试图从本地网络内部进行测试,需要从外部机器进行测试

7. 对于其他公共IP地址,虚拟IP配置不正确或缺失

8. pfSense路由器不是边界路由器。 如果pfSense和ISP之间还有其他的路由,端口转发和关联的规则必须在那里进行复制。

9. 将端口转发到入网门户后面的服务器。必须在服务器的IP之间添加IP旁路,以便端口转发到入网门户之后。

10. 如果这是在不是默认网关的WAN上,请确保在此WAN接口上选择了一个网关,或者转发端口的防火墙规则将不会通过正确的网关回复。

11.如果这是在不是默认网关的WAN上,请确保未转发端口的流量未通过浮动规则或接口组传入。只有防火墙规则下广域网接口选项卡上出现的规则才会具有reply-to关键字,以确保流量通过预期网关正确响应。

12. 如果这是在不是默认网关的WAN上,请确保允许流量的防火墙规则没有勾选该框禁用reply-to

13.如果这是在不是默认网关的WAN上,请确保在 System > Advanced >Firewall & NAT下的Disable reply-to未选中。

14. WAN规则不应设置网关,因此请确保端口转发的规则不具有根据实际规则配置的网关。

15.如果流量似乎正在转发到意外的设备,则可能由于UPnP而发生。检查Status > UPnP以查看内部服务是否已将端口配置为意外。如果是这样,请在该设备或防火墙上禁用UPnP。

2017年5月31日

时间: 2024-08-24 18:15:37

pfSense2.32端口转发设置的相关文章

Android开发:本机Tomcat搭建服务器,客户端socket网络连接不上问题以及D-LINK端口转发设置

我是用自己的电脑搭建服务器,首先问题是我们需要在路由器上端口映射,外网才能访问到自己的电脑,如何端口映射可以看看这篇文章: http://blog.csdn.net/zhoubin1992/article/details/45917775 一.D-LINK端口转发设置 我的是D-link如图: 名称写你客户端的名称. IP地址:路由器给本机分配的IP地址,一般以192.168开头.查询方法:cmd下ipconfig 填写私有端口就是路由器需要打开的端口,也可以设置一个区间 公共端口的就是外网要访

TP-link路由器与群晖NAS的端口转发设置

首先列出我使用的设备的型号. 路由器型号: TP-LINK Archer C9 NAS型号:Synology DS416 需求定义:能够从外网访问路由器下内网中的NAS的各种服务(如Web管理界面,Photo Station, Cloud Station, FTP等) 实现思路与步骤: 1. 在NAS的Web管理界面中,控制面板-->外部访问-->路由器配置,如下图: 2. Synology官方说明声称可以通过UPnP方式,在以上界面完成对路由器端口转发的配置.我经过试验,这种方式并不稳定,经

【20180202】使用iptables做MySQL的端口转发

导读:将一个实例上面的MySQL请求转向另外一个MySQL实例上面. 源服务:172.16.3.6:3306 主库 目标服务:172.16.3.7:3306 从库 访问账户: [email protected] 新旧实例以及搭建主从 在源服务上面开启端口转发服务: shell>> sudo vim /etc/sysctl.conf vim>> net.ipv4.ip_forward=1 ##在文件中修改这个选项为1 shell>> sudo sysctl -p shel

设置端口转发来访问Virtualbox里linux中的网站

上一篇中我们讲到怎么设置virtuabox来通过SSH登录机器. 同样,我们也可以按照上一篇内容中的介绍,设置端口转发,来访问虚拟linux系统已经搭建的网站: 1.设置端口转发: 我们设置本地的8888端口来转发给虚拟机的80端口. 虚拟机中的网站简单结构如下: [email protected]:/var/www/php# ll /var/www/php/test.php -rw-rw-r-- 1 zhiguo zhiguo 217 Apr 12 20:59 /var/www/php/tes

服务器设置端口转发 80 转 8080

前景提要: 1.  一款app软件第一版使用的8080 端口进行测试,因为当时还没有申请备案,所以不能使用 80 端口 2.   等到正式版的时候,有些用户还没有更新最新的程序,所以依旧使用的8080 端口访问服务器,而最新的app 已经修改为80 端口. 目标:  访问服务器的 80 端口 和 8080 端口的 效果一样: 措施:  1.  tomcat 使用端口修改为 8080 2. 配置服务器端口转发策略 iptables 端口映射(80 to 8080) /ect/sysctl.conf

iptables 设置端口转发/映射

iptables 设置端口转发/映射 服务器A有两个网卡 内网ip:192.168.1.3 外网ip:10.138.108.103 本地回环:127.0.0.1 服务器B有网卡,8001提供服务 内网ip:192.168.1.1 目的使用户通过外网10.138.108.103:8001访问内网服务器192.168.1.1:8001 如图2所示,端口转发走的是下发A路,利用nat表中prerouting做dnat,用postrouting做snat 包分析时期 操作 源IP:PORT 目的IP:P

CentOS系统中使用iptables设置端口转发

echo 1 > /proc/sys/net/ipv4/ip_forward 首先应该做的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0    这样允许iptalbes FORWARD. 修改完成后运行以下命令使参数生效:/sbin/sysctl -p 将本地接口IP 61.144.14.72 的3389端口 转发到 116.6.73.229的3389      (主要访问到61.144.14.72的3389端口,就会跳转到116.6.73

Windows 和 Linux 平台下的端口转发工具

原文地址: http://unmi.cc/windows-linux-port-forwarding/ 这里记录一下我曾经使用过的几个端口转发工具,即端口映射.端口重定向,和 NAT 也是差不多的概念. Linux 下用过 iptables,rinetd:Windows 下用过某个防火墙的 NAT 功能.RemoteAnywhere 的端口重定向.FPipe,还有最近刚找到的 PassPort.试着去设置一下 Windows 2000 的 NAT  功能,但未成功,还是特定的软件简单易用,下面介

Linux下使用Rinetd来实现端口转发

Linux下端口转发一般都使用iptables来实现,使用iptables可以很容易将TCP和UDP端口从防火墙转发到内部主机上.但是如果需要将流量从专用地址转发到不在您当前网络上的机器上,可尝试另一个应用层端口转发程序Rinetd.Rinetd短小.高效,配置起来比iptables也简单很多. Rinetd是为在一个Unix和Linux操作系统中为重定向传输控制协议(TCP)连接的一个工具.Rinetd是单一过程的服务器,它处理任何数量的连接到在配置文件etc/rinetd中指定的地址/端口对