我最近设置了一个 pfSense 路由器,但无法在我的 LAN 之外进行任何端口转发。
我对位于的本地服务器有以下转发规则10.0.1.2:
请注意,如果我为该规则启用 NAT 反射,那么ssh -p 993 user@my-wan-ip 作品来自我的局域网,所以规则是一些效果。但是,在我的 LAN 之外它不起作用。
这很奇怪,因为我有一个针对 ICMP 数据包的规则做工作:
如果我禁用上图中的第一条规则,则从网络外部进行的 ping 将开始失败,因此我知道防火墙正在运行。但是第二条规则(创建端口转发时创建的 NAT 防火墙规则)似乎没有效果。
使用我的旧路由器时,效果很好。我可能忽略了什么吗?
答案1
您的配置正确,可以将发往您的 WAN IP 的 993 发送到 10.0.1.2 端口 993。
执行故障排除步骤。您至少可以排除常见问题 1、6、7 和 10-14,甚至可能更多。 https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting
首先,当尝试从 Internet 连接时,我会过滤 Diag>States 中的 :993,然后查看那里有什么。如果没有,并且您在防火墙日志中没有看到任何 993 阻止,则它无法到达您的 WAN(上游某处被阻止)。如果有东西,它是什么样子的?
答案2
如果你添加代理 ARP虚拟 IP 地址,这有什么区别吗?
答案3
NAT 反射默认是禁用的,因此来自内部网络的测试将会失败。来自 pfSense 的故障排除指南:
除非启用了 NAT 反射,否则端口转发不会在内部工作。始终从网络外部测试端口转发,例如从其他位置的系统或从 3G/4G 设备测试。
我觉得我已经遇到过几次这个问题了。关闭手机上的 WiFi,然后测试一下。