По умолчанию, pfSense перезаписывает source port (исходный порт) у всех исходящих пакетов.

Многие ОС делают плохо работу по случайному выбору source port, если они вообще это делают. Это делает легче спуфинг IP адресов, и дает возможность брать "отпечатки пальцев" исходящего трафика у хостов за брандмауэром. Переписывание source порта источника устраняет эти потенциальные уязвимости в безопасности.

Однако, это также нарушает работу некоторых приложений. Есть встроенные правила, когда Advanced Outbound NAT отключен, которые не делают это для UDP 500 (IKE для VPN трафика) и 5060 (SIP), так как эти типы трафика почти всегда будет нарушены переписыванием source порта. Хотя небольшое меньшинство систем VoIP на самом деле нарушены не переписыванием source порта, в таких случаях вы не будете использовать опцию Static Port. Вы можете использовать другие протоколы, как некоторые игры среди прочего, что не работают должным образом, когда получают переписанный source порт.

Чтобы отключить эту функцию, вам необходимо использовать опцию Static Port. Нажмите меню Firewall -> NAT и выберите вкладку Outbound. Щёлкните "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" и нажмите кнопку Save. Вы увидите правило в нижней части страницы, помеченное "Auto created rule for LAN". Нажмите кнопку "e" справа от правила для его изменения. Установите галку в поле "Static Port" на этой странице и нажмите кнопку Save. Примените изменения (кнопка вверху страницы) и это поведение будет отключено.

оригинал: http://wiki.lissyara.su/wiki/PfSense:_Static_Port

ссылка на материал: http://thin.kiev.ua/index.php?option=com_content&view=article&id=499:pfsense-static-port&catid=50:pfsense&Itemid=81

{jcomments on}