Исходное сообщение
"Релиз дистрибутива для создания межсетевых экранов pfSense 2..." Отправлено Тузя, 13-Окт-17 18:07
Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт при исходящем соединении из внутренней сети? Например 192.168.0.2:1234 занатится например в 194.194.194.194:16805, а не в 194.194.194.194:1234. Назло? Я понимаю, что можно сделать DNAT или сказать ей "static port", но зачем?! Почитайте: https://doc.pfsense.org/index.php/Static_Port Первый абзац - просто бред. Мы придумали проблему и героически решаем. NAT - это нестандартизированный костыль для решения проблем с исчерпанием адресов ipv4, это не средство для организации безопасности. NAT не отменяет и не заменяет собой настройку остальной части фаервола. С SIP - это просто анекдот. Сначала ой, а потом и хрен с ним. Не понятно почему только 5060 UDP. Траспорты и порты-то разные бывают. Вот из-за нестандартизированности NAT и вот таких вот невменяемых утырков-разработчиков бывает односторонняя слышимость. Поведение по умолчанию в pfsence ломает некоторые реализации rfc3851 и вынуждает использовать rfc5389. Ладно хоть ALG не подняли по умолчанию и на том спасибо. Для тех кто не в курсе, их куцее эссе в документации намекает "включайте static port, меняете default, если у вас там оборудование или софт с поддержкой SIP, но при этом не первой свежести". Учитывая, что asterisk до версии 11 страдал от такого кривого дефолта, аргумент "мало кому надо" тут не прокатит.