pfSense2.32端口转发设置

本文涉及的产品
云防火墙,500元 1000GB
简介:

pfSense上的端口转发是一个相当简单的过程。以前版本添加端口转发时,还必须添加防火墙规则,以便流量转发到端口指定的内部IP地址。 现在创建端口转发定义时可以自动添加此规则,并且默认情况下已启用该选项。


端口转发设置

导航到Firewall>NAT>Port Forward。

下面对端口转发设置的各个字段进行逐一解释:

  • Disabled:     允许端口转发条目被禁用,而不从配置中删除它。

  • No  RDR: 反向重定向流量匹配这里指定的内容。 对于高级配置,通常应该取消选中。

  • Interface: 流量发生的接口,通常是WAN

  • Protocol:要转发的流量的协议。

  • Source: 允许匹配流量的特定原始来源,并隐藏在高级按钮后面,因为在大多数情况下,它应该是“any”,允许所有Internet主机通过。 使用TCP和/或UDP时的源端口范围,几乎总是“any”。源端口与目的端口不同,通常是1024-65535之间的随机端口。

  • Destination: 指定流量的原始目标IP地址,通常为WAN地址。

  • Destination  Port Range: 指定流量的原始目的端口,即外部端口要转发的端口范围。

  • Redirect  target IP: 该流量将被转发的内部IP地址。

  • Redirect  Target Port: 此流量将被转发的内部端口,通常与Destination     Port Range(目标端口范围)中定义的外部端口相同。 如果一个范围内的多个端口用于目的端口范围,则这是起始端口的范围,因为它必须是相同的大小范围。

  • Description: 描述说明供管理员参考。

  • No  XMLRPC Sync: 防止同步到其他CARP成员。

  • NAT reflection:允许在端口转发时启用或禁用NAT回流。如果在内网通过外网地址来测试内网映射端口,一定要选择启用回流(NAT+Proxy)。

  • Filter rule association: 将流量从指定的源发送到指定的目的地,并将其重定向到指定的目标IP和端口,进入所选接口,使用指定的协议。

  

实例教程(pfsense2.34中文版):

进入防火墙-地址转换-端口转发,选择添加。把WAN1口上的5001端口转发到内部192.168.111.190主机上。

wKiom1kvua2Rts6JAAJniJA1Gyc435.png


按上图进行设置,设置完成点击保存设置。下图是完成设置后的条目。

wKiom1kvua7wQ7juAADe-aDoD2o960.png


通过查看WAN1上的防火墙规则,可以看见端口转发的防火墙规则已经自动添加了,见下图。

wKioL1kvua3xzGoKAAEn_FJVCdI524.png


常见问题

  • NAT和防火墙规则未正确添加。注意:不要设置源端口。

  • 在客户机上启用了防火墙。

  • 客户端机器不使用pfSense作为其默认网关。

  • 客户端机器实际上没有正在侦听正在转发的端口。

  • ISP或pfSense上游的某个端口正在阻止正在转发的端口。

  • 试图从本地网络内部进行测试,需要从外部机器进行测试。

  • 对于其他公共IP地址,虚拟IP配置不正确或缺失。

  • pfSense路由器不是边界路由器。 如果pfSense和ISP之间还有其他的路由,端口转发和关联的规则必须在那里进行复制。

  • 将端口转发到入网门户后面的服务器。必须在服务器的IP之间添加IP旁路,以便端口转发到入网门户之后。

  • 如果不在默认网关的WAN接口上,请确保在此WAN接口上选择了一个网关,或者转发端口的防火墙规则将不会通过正确的网关回复。

  • 如果不在默认网关的WAN接口上,请确保未转发端口的流量未通过浮动规则或接口组传入。只有防火墙规则下广域网接口选项卡上出现的规则才会具有reply-to关键字,以确保流量通过预期网关正确响应。

  • 如果不在默认网关的WAN接口上,请确保允许流量的防火墙规则没有勾选该框禁用reply-to。

  • 如果不在默认网关的WAN接口上,请确保在 System > Advanced >Firewall & NAT下的Disable reply-to未选中。

  • WAN规则不应设置网关,因此请确保端口转发的规则不具有根据实际规则配置的网关。

  • 如果流量似乎正在转发到意外的设备,则可能由于UPnP而发生。检查Status > UPnP以查看内部服务是否已将端口配置为意外。如果是这样,请在该设备或防火墙上禁用UPnP。


故障排查

端口转发时遇到问题,请尝试按以下操作来解决问题。

  • 端口转发不在内部工作,除非启用了 NAT reflection(NAT回流)。 始终从网络外部(例如从另一个位置的系统)或从3G / 4G设备向外测试端口。

  • 编辑NAT条目流量通行的防火墙规则,并启用日志记录。保存并应用更改。 然后尝试从外面再次访问它。检查防火墙日志 (Status > System Logs, Firewall 选项卡) 看看流量是否显示为允许或拒绝。

  • 在Diagnostics > States检查下面的状态表, 过滤源,目的地或端口号,以查看是否存在任何条目。 如果存在与端口转发的NAT匹配的条目,则防火墙正确接受和转发流量,可以排除防火墙设置问题,请查看内部问题(例如,客户端防火墙等,见下文)。

  • 使用数据包捕获或tcpdump来查看网络上发生的情况。这是找到问题的最佳方式,但需要最多的网络专业知识。 导航到Diagnostics > Packet Capture 以捕获流量,或者从shell使用tcpdump。 从WAN接口开始,并使用过滤器进行相应的协议和端口。尝试从网络外部进行访问,看看是否显示。 如果没有,则ISP可能阻塞流量,或者如果涉及到虚拟IP,则可能配置不正确。 如果在WAN接口上看到流量,切换到内部接口并执行类似的捕获。如果流量没有离开内部接口,则会出现NAT或防火墙规则配置问题。 如果离开界面,并且没有从目标机器返回的流量,目标系统的默认网关可能丢失或不正确,它可能不会在该端口上侦听,或者可能有本地防火墙(Windows防火墙,IP表 )阻止流量。 对于某些类型的流量返回流量可能会显示主机未在该端口上侦听。对于TCP,这可能是TCP RST。 对于UDP,它可能是ICMP无法访问的消息。


视频教程请点击










本文转自 鐵血男兒 51CTO博客,原文链接:http://blog.51cto.com/fxn2025/1931136,如需转载请自行联系原作者
目录
相关文章
|
弹性计算 网络协议 安全
【图文教程】阿里云服务器开放端口设置(超详细)
阿里云服务器端口怎么打开?云服务器ECS端口在安全组中开启,轻量应用服务器端口在防火墙中打开,阿里云服务器网以80端口为例,来详细说下阿里云服务器端口开放图文教程,其他的端口如8080、3306、443、1433也是同样的方法进行开启端口:
24767 2
|
网络协议 Linux 网络安全
Centos7 防火墙配置+端口设置
Centos7 防火墙配置+端口设置
279 0
Centos7 防火墙配置+端口设置
|
4月前
|
负载均衡 网络协议 Linux
|
3月前
|
网络协议
【qt】TCP的监听 (设置服务器IP地址和端口号)
【qt】TCP的监听 (设置服务器IP地址和端口号)
208 0
|
4月前
|
存储 安全 网络安全
服务器设置了端口映射之后外网还是访问不了服务器
服务器设置了端口映射之后外网还是访问不了服务器
|
4月前
|
前端开发 应用服务中间件 nginx
网页设计,若依项目修改(It must be done)01----若依打包位置,nginx代理前端静态资源和后端接口,就是怎样设置转载,访问固定端口,让他访问其他资料的配置文件,访问/,给你那些
网页设计,若依项目修改(It must be done)01----若依打包位置,nginx代理前端静态资源和后端接口,就是怎样设置转载,访问固定端口,让他访问其他资料的配置文件,访问/,给你那些
|
4月前
|
Java
springBoot如何设置yml文件,设置端口号
springBoot如何设置yml文件,设置端口号
|
5月前
|
网络协议 安全 Docker
windows环境下的设置docker远程访问(开放2375端口)
windows环境下的设置docker远程访问(开放2375端口)
982 0
|
5月前
|
网络安全
阿里云8888端口设置安全组,宝塔控制台显示链接失败
阿里云8888端口设置安全组,宝塔控制台显示链接失败
63 0
|
5月前
|
Oracle 关系型数据库 MySQL
实时计算 Flink版操作报错合集之ip和端口都是通的,连接池设置为200,连接报错,是什么原因
在使用实时计算Flink版过程中,可能会遇到各种错误,了解这些错误的原因及解决方法对于高效排错至关重要。针对具体问题,查看Flink的日志是关键,它们通常会提供更详细的错误信息和堆栈跟踪,有助于定位问题。此外,Flink社区文档和官方论坛也是寻求帮助的好去处。以下是一些常见的操作报错及其可能的原因与解决策略。

热门文章

最新文章

下一篇
无影云桌面