henol 2017-12

제가 포트포워딩 설정을 하나 추가할때는
firewall의 rules에도 자동 추가할거냐 라고 pfsense가 물어봤던거 같습니다.
그래서 firewall의 rules에도 pass 액션으로 추가되야 될겁니다.
Rules의 WAN 리스트에 있나 확인해보시고 없으면 넣어보세요.

s김종화z 2017-12

조언 고맙습니다.

말씀하신 내용은 Filter rule association 에 추가해서 본문에 추가시킨 이미지처럼 Rules 에 추가된 것을 말하는 것 같은데...이렇게 되어 있으면 되지 않나요?

현재는 테스트를 위해 TCP 만 설정하였고, WAN 의 9003 포트로 들어오면 내부의 10.255.101.102 (WAN 대역이고, LAN 대역의 172.31.101.102 로도 접근 가능) 서버의 24224 포트로 forward 하려는 설정입니다. fluentd (td-agent) 라는 log 수집 애플리케이션이 이용하는 포트입니다.

henol 2017-12

WAN/LAN 설정에서 Block private networks도 풀어보고
그래도 안되시면 다른설정이 영향이 있을것 같아요.
Status에서 system log > firewall 로그를 보시고 혹시 블록하고 있는건 아닌지.

s김종화z 2017-12

firewall 은 block 되고 있지 않는 것으로 보입니다. 같은 서버에서 다른 포트로 haproxy 로 연결하는게 있는데 별다른 설정 없이 잘 접속되고 있고, haproxy 대신에 nat 로 설정 바꿔봐도 제대로 접속이 안되네요. haproxy 때문인가 싶어서 haproxy 을 shutdown 시켜도 마찬가지구요. 포워딩 되는 서버의 iptables 도 꺼져있는 상태입니다.

그리고 block private networks 을 꺼도 마찬가지입니다.

henol 2017-12

별다른 설정을 안하셨으면 잘 되야되는데 안타깝네요.
제 경우를 말씀드리면 NAT 설정은 김종화님과 당연히 비슷하고
Outbound도 오토NAT모드, Mappings는 없고, Automatic rules 에
interface - WAN
source - 127.0.0.0 (그리고 아마도) 172.31.101.0
머 이렇게 두줄 혹은 한줄만 있으면 되는데요.
Status의 gateway도 WAN게이트웨이가 online 되어있고요.

s김종화z 2017-12

automatic rules 쪽이 좀 이상하네요...

10.255.101.10 / 24 (gateway 는 1, 10 은 pfsense) 가 WAN 이고, 172.31.101.10 /24 (마찬가지로 gateway 가 1, 10은 pfsense) 가 LAN 인데...

127.0.0.0/8 와 172.16.0.0/12 이 LAN/WAN 모두에 rules 로 들어가있네요. Auto created rule for ISAKMP (static port 500) 와 Auto created rule 가 하나씩 있는데...뭘 의미하는지 모르겠네요.

이 부분 때문에 그럴까요? outbound 쪽이라 대세에는 영향이 없으리라 생각되지만요...

s김종화z 2017-12

영어가 짧아...정확한 내용을 이해하진 못했지만, 그래도 이 상황에서 가장 비슷한 증상 같은데...

https://forum.pfsense.org/index.php?topic=86979.0

제 구성이...pfSense 가 기본 gateway 가 아닙니다. 쬐금 난해하게 되어 있는데, 2 개의 vlan 이 있고, 각각을 설정해준 장비가 있고, pfSense 는 각각의 vlan 을 하나의 ethernet 으로 받아서 각각의 대역에 IP 을 DHCP Server 로 분배하는 역할을 하고 있습니다. 이 중 하나는 외부의 공인IP 와 매핑이 외부에서 되고 있으며 이 대역으론 사용자가 접근 안되며, 다른 한 대역은 사용자가 접속이 가능한데 DHCP Server 에서 route 정보를 변경해서 내려줍니다(망 구성이 뭐 이런지...). 위 링크대로라면 기본 gateway 가 pfSense 가 아니라서 그런게 아닌가 싶기도 하고...좀 난해하네요.
haproxy 처럼 L4 을 지원하는 별도의 추가 애플리케이션이 있어서 이를 설정할 수 있으면 좋겠는데...없는 것 같네요. haproxy 는 udp 가 안되고...내부에서 nginx 을 별도로 깔아서 쓰는 방법은 관리하기 번거로워서 쓰기 힘들고...휴...

henol 2017-12

제가 잘 이해를 못해서;; 제 상황을 말씀드리면 이렇습니다.

저희는 인터넷회선을 WAN에 연결하고 쓰는터라 WAN은 DHCP설정을 해서 게이트웨이 주소를 알아서 받아옵니다.
System>Routing 을 보면 디폴트게이트웨이로 그 주소가 설정되있습니다.
김종화님은 static인것 같으니 10.255.101.1 인가요?..

LAN설정의 경우는 DHCP돌리는 것 정도입니다. 이게 좀 다르네요.
저는 pfsense LAN포트가 x.x.x.1이긴합니다만 저같이 공유기+단순방화벽 정도의 WAN-LAN 구조라면
Interfaces>LAN 에서 upstream gateway는 None 입니다.
제가 좀 힘겨워던게 upstream gateway를 pfsense LAN포트에 할당한 x.x.x.1로 설정하는바람에
내부에서 외부로의 인터넷은 전혀 안되고 오히려 NAT은 잘되었었죠. 불과 2주전에요;

그래서.. 위 답글들의 NAT설정을 하다보니 어느새?
Firewall>NAT>Outbound 에 말씀하신 오토룰이 달랑 두개 쌓여있더군요.

Interface - Source                    - SourcePort - Dest - Dest Port - NAT Addr - NAT port - Desc
WAN  -  127.0.0.0 x.x.x.0        - *              - *      - 500        - WAN Addr -    *        - Auto created rule for ISAKMP
WAN  -  127.0.0.0 x.x.x.0        - *              - *      -  *          - WAN Addr -    *        - Auto created rule

단순히 위 x.x.x.0 -> 이부분이 172.31.101.0 으로 되도록 해보시는건 어떨까요.

s김종화z 2017-12

outbound 에 172.31.101.0 으로 하는 건 해봤습니다. ^^;; 역시나 안되더군요...T.T

지금 하고 있는 장비의 gateway 는 .1 인데, pfsense 는 .10 입니다.

아미노펜 2017-12

이미지로 된 네트워크 다이어그램은 따로없으신가요??
NAT를 처리해주었다면 pfsense 쉘 모드에서 tcpdump로 패킷이 먼저 pfsense까지 들어오는지 그리고 Destination NAT가 처리되는지와 이에 대한 REPLY 패킷이 날라오는지 구간별로 먼저 확인해보셔야될거같습니다.

s김종화z 2017-12

회사에서 R&D 용으로 쓰는거라 다이어그램을 따로 그리진 않았습니다. 제가 인프라가 아니라 SW 디벨로퍼 쪽이라서요.

설정을 한 상태에서 Diagnostics / Packet Capture 쪽에 요청이 들어오는 건 보이는데, Diagnostics / States 에서 아무 정보도 쌓이지 않는 상태입니다.

구성이 참...요상한 상태라...

henol 2017-12

별다른 질문이지만 pfsense 마스터책을 보신거면 HAProxy 는 패키지로 설치하신건가요? 아니면 따로 구축하셨나요?
저도 오늘 알았는데 책에 소개되었길래요.

s김종화z 2017-12

패키지로 설정하였습니다. 실제 업무에선 haproxy 설정파일을 수정해서 쓰고 unixsocket 등도 이용하고 있지만, 비개발자까지 사용하는걸 염두에 두고 웹에서 편하게 설정할 수 있는 패키지 버전을 골랐는데, 나름 괜찮은 것 같습니다.

s김종화z 2017-12

또다른 해결책으로 기본 설치된 nginx 에 tcp/udp proxy 기능이 있어서 이걸 이용하려고 했더니 모듈이 없어서 안되는 것 같네요...

참 힘드네요. ^^;;;