pfSense上的端口轉發是一個相當簡單的過程。以前版本添加端口轉發時，還必須添加防火墻規則，以便流量轉發到端口指定的內部IP地址。 現在創建端口轉發定義時可以自動添加此規則，并且默認情況下已啟用該選項。

端口轉發設置

導航到Firewall>NAT>Port Forward。

下面對端口轉發設置的各個字段進行逐一解釋：

• Disabled: ? ? 允許端口轉發條目被禁用，而不從配置中刪除它。

• No ?RDR: 反向重定向流量匹配這里指定的內容。 對于高級配置，通常應該取消選中。

• Interface: 流量發生的接口，通常是WAN

• Protocol:要轉發的流量的協議。

• Source: 允許匹配流量的特定原始來源，并隱藏在高級按鈕后面，因為在大多數情況下，它應該是“any”，允許所有Internet主機通過。 使用TCP和/或UDP時的源端口范圍，幾乎總是“any”。源端口與目的端口不同，通常是1024-65535之間的隨機端口。

• Destination: 指定流量的原始目標IP地址，通常為WAN地址。

• Destination ?Port Range: 指定流量的原始目的端口，即外部端口要轉發的端口范圍。

• Redirect ?target IP: 該流量將被轉發的內部IP地址。

• Redirect ?Target Port: 此流量將被轉發的內部端口，通常與Destination ? ? Port Range（目標端口范圍）中定義的外部端口相同。 如果一個范圍內的多個端口用于目的端口范圍，則這是起始端口的范圍，因為它必須是相同的大小范圍。

• Description: 描述說明供管理員參考。

• No ?XMLRPC Sync: 防止同步到其他CARP成員。

• NAT reflection:允許在端口轉發時啟用或禁用NAT回流。如果在內網通過外網地址來測試內網映射端口，一定要選擇啟用回流（NAT+Proxy）。

• Filter rule association: 將流量從指定的源發送到指定的目的地，并將其重定向到指定的目標IP和端口，進入所選接口，使用指定的協議。

??

實例教程（pfsense2.34中文版）:

進入防火墻-地址轉換-端口轉發，選擇添加。把WAN1口上的5001端口轉發到內部192.168.111.190主機上。

按上圖進行設置，設置完成點擊保存設置。下圖是完成設置后的條目。

通過查看WAN1上的防火墻規則，可以看見端口轉發的防火墻規則已經自動添加了，見下圖。

常見問題

• NAT和防火墻規則未正確添加。注意：不要設置源端口。

• 在客戶機上啟用了防火墻。

• 客戶端機器不使用pfSense作為其默認網關。

• 客戶端機器實際上沒有正在偵聽正在轉發的端口。

• ISP或pfSense上游的某個端口正在阻止正在轉發的端口。

• 試圖從本地網絡內部進行測試，需要從外部機器進行測試。

• 對于其他公共IP地址，虛擬IP配置不正確或缺失。

• pfSense路由器不是邊界路由器。 如果pfSense和ISP之間還有其他的路由，端口轉發和關聯的規則必須在那里進行復制。

• 將端口轉發到入網門戶后面的服務器。必須在服務器的IP之間添加IP旁路，以便端口轉發到入網門戶之后。

• 如果不在默認網關的WAN接口上，請確保在此WAN接口上選擇了一個網關，或者轉發端口的防火墻規則將不會通過正確的網關回復。

• 如果不在默認網關的WAN接口上，請確保未轉發端口的流量未通過浮動規則或接口組傳入。只有防火墻規則下廣域網接口選項卡上出現的規則才會具有reply-to關鍵字，以確保流量通過預期網關正確響應。

• 如果不在默認網關的WAN接口上，請確保允許流量的防火墻規則沒有勾選該框禁用reply-to。

• 如果不在默認網關的WAN接口上，請確保在?System > Advanced >Firewall & NAT下的Disable reply-to未選中。

• WAN規則不應設置網關，因此請確保端口轉發的規則不具有根據實際規則配置的網關。

• 如果流量似乎正在轉發到意外的設備，則可能由于UPnP而發生。檢查Status > UPnP以查看內部服務是否已將端口配置為意外。如果是這樣，請在該設備或防火墻上禁用UPnP。

故障排查

端口轉發時遇到問題，請嘗試按以下操作來解決問題。

• 端口轉發不在內部工作，除非啟用了 NAT reflection（NAT回流）。 始終從網絡外部（例如從另一個位置的系統）或從3G / 4G設備向外測試端口。

• 編輯NAT條目流量通行的防火墻規則，并啟用日志記錄。保存并應用更改。 然后嘗試從外面再次訪問它。檢查防火墻日志 (Status > System Logs,?Firewall?選項卡) 看看流量是否顯示為允許或拒絕。

• 在Diagnostics > States檢查下面的狀態表， 過濾源，目的地或端口號，以查看是否存在任何條目。 如果存在與端口轉發的NAT匹配的條目，則防火墻正確接受和轉發流量，可以排除防火墻設置問題，請查看內部問題（例如，客戶端防火墻等，見下文）。

• 使用數據包捕獲或tcpdump來查看網絡上發生的情況。這是找到問題的最佳方式，但需要最多的網絡專業知識。 導航到Diagnostics > Packet Capture?以捕獲流量，或者從shell使用tcpdump。 從WAN接口開始，并使用過濾器進行相應的協議和端口。嘗試從網絡外部進行訪問，看看是否顯示。 如果沒有，則ISP可能阻塞流量，或者如果涉及到虛擬IP，則可能配置不正確。 如果在WAN接口上看到流量，切換到內部接口并執行類似的捕獲。如果流量沒有離開內部接口，則會出現NAT或防火墻規則配置問題。 如果離開界面，并且沒有從目標機器返回的流量，目標系統的默認網關可能丟失或不正確，它可能不會在該端口上偵聽，或者可能有本地防火墻（Windows防火墻，IP表 ）阻止流量。 對于某些類型的流量返回流量可能會顯示主機未在該端口上偵聽。對于TCP，這可能是TCP RST。 對于UDP，它可能是ICMP無法訪問的消息。

視頻教程請點擊。

本文轉自 鐵血男兒 51CTO博客，原文鏈接：http://blog.51cto.com/fxn2025/1931136，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的pfSense2.32端口转发设置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。