pfSense 端口转发

pfSense 上的端口转发是一个相当简单的过程。在早期版本中添加端口转发时，必须单独添加防火墙规则以便流量能够转发到内部 IP 地址。现在创建端口转发定义时，可以自动添加关联的防火墙规则，并且该选项默认启用。

端口转发设置

导航到 防火墙 > NAT > 端口转发。
以下是对端口转发设置中各个字段的逐一解释：

• Disabled（禁用）：允许端口转发条目被禁用，而无需从配置中删除它。
• No RDR（无反向重定向）：反向重定向匹配此处指定的流量。对于高级配置，通常应取消选中。
• Interface（接口）：流量进入的接口，通常是 WAN 口。
• Protocol（协议）：要转发的流量所使用的协议。
• Source（源）：允许匹配流量的特定原始来源。该选项隐藏在“高级”按钮后，大多数情况下应设置为“any”，以允许所有 Internet 主机访问。当使用 TCP 和/或 UDP 时的源端口范围几乎总是“any”。源端口与目的端口不同，通常是 1024-65535 之间的随机端口。
• Destination（目的）：指定流量的原始目标 IP 地址，通常为 WAN 接口地址。
• Destination Port Range（目的端口范围）：指定流量的原始目的端口，即需要转发的外部端口范围。
• Redirect target IP（重定向目标 IP）：流量将被转发到的内部 IP 地址。
• Redirect Target Port（重定向目标端口）：流量将要转发到的内部端口，通常与目的端口范围中定义的外部端口相同。如果目的端口范围使用了一个连续范围的多个端口，那么此端口将作为起始端口，且内部端口范围的大小必须与外部范围一致。
• Description（描述）：供管理员参考的说明信息。
• No XMLRPC Sync（无 XMLRPC 同步）：防止将本条规则同步到其他 CARP 成员。
• NAT reflection（NAT 回流）：允许在端口转发时启用或禁用 NAT 回流。如果需要在内部网络通过外网地址来测试端口映射，请务必选择启用（NAT+Proxy）。
• Filter rule association（防火墙规则关联）：将来自指定源、流向指定目的接口的流量，根据所选协议重定向到指定的目标 IP 和端口。

实例教程（pfSense 2.3.4 中文版）

进入 防火墙 > NAT > 端口转发，选择添加。将 WAN1 接口上的 5001 端口转发到内部主机 192.168.111.190。

按上图进行设置，完成后点击保存。下图为完成设置后的条目列表。

通过查看 WAN1 上的防火墙规则，可以看到端口转发对应的防火墙规则已经自动添加，如下图。

常见问题

• NAT 和防火墙规则未正确添加。注意：不要设置源端口。
• 客户端机器上启用了防火墙。
• 客户端机器未使用 pfSense 作为其默认网关。
• 客户端机器实际上并未在转发的端口上监听。
• ISP 或 pfSense 上游的某个节点阻止了正在转发的端口。
• 试图从本地网络内部进行测试，需要从外部机器进行测试。
• 对于其他公共 IP 地址，虚拟 IP 配置不正确或缺失。
• pfSense 路由器不是边界路由器。如果 pfSense 和 ISP 之间还有其它路由设备，端口转发及其关联的防火墙规则必须在那台设备上进行复制。
• 将端口转发到认证门户（captive portal）后面的服务器。必须在服务器的 IP 之间添加 IP 旁路，以使端口转发能够穿透门户。
• 如果端口不在默认网关所在的 WAN 接口上，请确保在该 WAN 接口上选择了一个网关，否则转发端口的防火墙规则将不会通过正确的网关进行回复。
• 如果端口不在默认网关所在的 WAN 接口上，请确保被转发的流量不是通过浮动规则或接口组进入的。只有 防火墙规则 下相应 WAN 接口选项卡上出现的规则才会包含 reply-to 关键字，从而确保流量通过预期的网关正确响应。
• 如果端口不在默认网关所在的 WAN 接口上，请确保允许该流量的防火墙规则没有勾选“禁用 reply-to”选项。
• 如果端口不在默认网关所在的 WAN 接口上，请确保在 系统 > 高级 > 防火墙/NAT 下的“禁用 reply-to”选项未被选中。
• WAN 接口上的规则不应设置网关，因此请确认端口转发自动生成的规则没有配置错误的网关。
• 如果流量似乎被转发到了非预期的设备，可能是由于 UPnP 造成的。请检查 状态 > UPnP 以查看是否有内部服务意外地配置了端口。如果存在，请在该设备或防火墙上禁用 UPnP。

故障排查

端口转发遇到问题时，请尝试按以下步骤进行排查：

1. 除非启用了 NAT 回流（NAT reflection），否则端口转发无法从内部网络正常工作。务必从网络外部（例如从其他位置的主机）或通过 3G/4G 设备向外进行测试。
2. 编辑 NAT 条目对应的防火墙规则，启用日志记录。保存并应用更改，然后尝试从外部再次访问。检查 状态 > 系统日志 中的防火墙选项卡，查看流量是否显示为允许或拒绝。
3. 在 诊断 > 状态 中查看状态表，根据源地址、目的地址或端口号进行过滤，以确认是否存在相关条目。如果存在与端口转发 NAT 匹配的条目，说明防火墙已正确接受并转发了流量，可以排除防火墙设置问题，此时应排查内部问题（例如客户端防火墙等，详见下文）。

4. 使用数据包捕获或 tcpdump 查看网络上实际发生的情况。这是定位问题的最有效方法，但需要较多的网络专业知识。导航到 诊断 > 数据包捕获 进行捕获，或从 Shell 中使用 tcpdump。

   • 从 WAN 接口开始，使用过滤器匹配相应的协议和端口。尝试从外部发起访问，查看数据包是否出现。
   • 如果未出现，ISP 可能阻塞了该流量，或者如果涉及虚拟 IP，则可能配置不正确。
   • 如果在 WAN 接口上看到了流量，切换到内部接口进行类似的捕获。如果流量没有离开内部接口，则是 NAT 或防火墙规则配置问题。
   • 如果流量离开了内部接口，但目标机器没有返回流量，则可能是目标系统的默认网关缺失或设置错误、目标机器未在该端口上监听，或存在本地防火墙（Windows 防火墙、iptables 等）阻止了流量。对于某些流量类型，返回的流量可能会显示主机未在监听该端口：TCP 可能是 TCP RST 报文，UDP 则可能是 ICMP 不可达消息。

视频教程请点击观看。