PhenIXUS

[tomtom30]

Bonjour,

je sollicite votre aide pour un problème de routage nat pour un serveur de jeu COD4
Mon serveur est dans mon LAN et s'identifie auprès des serveur master sur le net.Ce processus ne fonctionne pas.
Je pense avoir identifier le probleme. Apparemment pfsense fait du random ports sur outbound nat donc il faut passer en static port.

Clairement il faudrait dans mon cas que tout se passe sur le port 28960.
J'ai donc essayer cocher static port sur auto created rule sur LAN to WAN mais ca ne fonctionne pas, les ports sortes toujours random.

Pouvez vous m'indiquer la façon de faire?

Merci

[ccnet]

Préciser la version de Pfsense peut être utile. Préciser l'adressage réseau, la connectivité internet (une box ?) ...

Clairement il faudrait dans mon cas que tout se passe sur le port 28960

Source, destination, dans quel sens ? Pas clair votre problème. Si je fais du nat outbound pour un serveur smtp sortant, Pfsense ne change pas le port destination lors de la translation. Donc dans votre cas, c'est autre chose ... mais quoi ?

[tomtom30]

Bonjour,

j'utilise pfsense 2.0.1.
Pour ce qui est de mon LAN il est en 192.168.1.0/24, et mon WAN passe par un modem netgear "simple" sans options ( firewall etc )

Je vais essayer de donner un max d'infos :

Mon serveur est 192.168.1.101 et pfsense 192.168.1.1, les ports 28960 20810 sont les ports par defaut des serveurs callofduty. 109.190.34.58 est mon ip

Pass Jun 14 21:07:07 LAN 192.168.1.101:28960 63.146.124.21:20810 UDP
block Jun 14 21:07:10 WAN 86.201.86.88:28960 109.190.34.58:40780 UDP
block Jun 14 21:07:53 WAN 80.218.17.99:28960 109.190.34.58:25275 UDP
block Jun 14 21:08:00 WAN 86.201.86.88:28960 109.190.34.58:40780 UDP
block Jun 14 21:08:26 WAN 80.218.17.99:28960 109.190.34.58:25275 UDP

Comme on peut voir mon serveur envoie une requete sur 63.146.124.21(serveur maitre activision)
Puis je recoie une série de réponse de d'autres serveurs que je pense esclave. le probleme c'est que ces serveurs répondent sur des ports aléatoires qui ne passe pas ma regle de nat et sont donc bloqués. ce que je ne comprend pas c'est d'ou sortent ces ports bizarres ?

[ccnet]

Vos réponses ne sont pas complètes. je fais quelques suppositions que vous invaliderez si besoin.
Vous posséder une seule ip publique (109.190.34.58).

le probleme c'est que ces serveurs répondent sur des ports aléatoires

Lorsque je regarde votre capture je ne vois rien d'aléatoire mais au contaire l'utilisation séquentielle de deux ports udp 40780 et 25275. Peut être cette capture n'est elle pas suffisante pour apprécier le caractère aléatoire ? En l'état pour moi il n'y a rien d'aléatoire.

des ports aléatoires qui ne passe pas ma regle de nat

Ce n'est pas la règle de nat qui est à l'origine du blocage. Une règle de nat ne filtre pas à proprement parler. Ce sont les règles sur votre interface wan qui sont inadaptées. Il est facile de le comprendre puisque le paquet bloqué n'est pas naté. C'est qui apparait dans les logs.

ce que je ne comprend pas c'est d'ou sortent ces ports bizarres ?

Ce sont les ports utilisés par le protocole de l'application. Il n'y a là aucune bizarrerie mais juste un choix arbitraire des développeurs.

En conclusion, pour votre besoin, que je ne comprend pas encore complètement d'ailleurs compte tenu de l'absence d'expression claire, est sans rapport avec le nat outbound. Globalement tout cela est mal compris, le nat outbound comme le travail de Pfsesne semble t il. Avec une seule ip publique le nat outbound ne vous concerne pas.

Résumons pour ce que j'ai compris (donc sujet à modification).
Vous avez un serveur en 192.168.1.101. Celui doit communiquer avec le serveur 63.146.124.21. Pour des raisons que j'ignore les réponses proviennent d'autres serveurs (?). Ceux ci tentent d'ouvrir des connexions UDP sur votre serveur 192.168.1.101. Il semble que nous soyons en face d'un protocole ALC.
La seule possibilité que je vois, à ce stade, consiste à mettre en place un nat standard qui redire tout le trafic UDP, d'où qu'il vienne vers 192.168.1.101. C'est nul, c'est dangereux mais compte tenu des infos connues à ce stade, je ne sais pas faire autre chose.
Peut être que les ports UDP 40780 et 25275 suffisent ais ce n'est que pure supposition de ma part.
A vous d'en dire plus.