PfSense: Port Mapping или перенаправление портов
Port Forwarding (PortMapping) - это технология, которая позволяет обращаться клиентам из Интернет к ресурсам в локальной сети за маршрутизатором, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего интерфейса маршрутизатора на адрес выбранного компьютера в локальной сети. (c) (http://www.dlink.ru/ru/faq/68/275.html)
Выбираем пункт меню Firewall - NAT По умолчанию оказываемся на вкладке Port Forward Для редактирования существующих правила используем кнопку 'e', для создания нового правила '+':
Interface - выбираем сетевой интерфейс, с которого хотим пробросить порт (в моем случае WAN). По умолчанию в PFSense NAT из локальной сети в интернет автоматический и правила для LAN нам не нужны.
External address - адрес на который приходит пакет как правило это адрес WAN-интерфейса потому выбираем Interface address, как здоровые ленивцы не будем натить пакеты адресованные не нам потому any не выберем.
Protocol - как правило TCP, иногда можно и UDP (например, службы времени и DNS).
External port range - выбираем диапазон пробрасываемых портов (можно написать вручную (тип other) или указать стандартные для приложений)
NAT IP и Local port Адрес и локальный порт компьютера в сети на который мы хотим пробросить порты.
Description комментарий - без комментариев.
No XMLRPC Sync опция необходима для синхронизации с другими серверами pfSense при использовании CARP (от англ. Common Address Redundancy Protocol — протокол избыточности общего адреса). В одиночных роутерах не используется.
Auto-add a firewall rule to permit traffic through this NAT rule автоматически создает разрешающее правило в фаерволе. Беда только в том, что это правило разрешает проброс порта от всех и вся, так что следом мы пойдем редактировать это правило.
Выбираем пункт меню Firewall - Rules
Выбираем вкладку WAN
Правила выполняются сверху вниз, последнее "невидимое" правило "запретить все остальное". По умолчанию правила созданные натом имеют слово "NAT" в столбце Description. Находим свое новое правило и редактируем его кнопкой 'e'. Также проверяем положение этого правила в списке, чтобы вышестоящие более общие правила не перекрывали его действие, и при необходимости перемещаем его на нужную позицию над такими правилами.
Находим поле Source и ограничиваем источник пакетов Type:Single host or alias , Address: 85.189.14.2 (например). Все остальное можно оставить без изменений. После создания правил не забываем применять изменения вверху экрана.
Что делать, если все сделано правильно, но ничего не работает?
- Проверьте, что у компьютера на который делается перенаправление портов, ваш PFSense прописан шлюзом в настройках сетевой платы.
- Проверьте, что на компьютере, на который вы делаете перенаправление портов, брендмауэр Windows или антивируса разрешает входящие подключения на указанные порты.
