venerdì 5 luglio 2013

Port Forwarding in pfSense

Il port forwarding è l'operazione che permette il trasferimento del traffico (forwarding) da una interfaccia di rete ad un altra tramite una specifica porta (port) di comunicazione. Questa tecnica permette la pubblicazione di un servizio interno alla nostra lan anche agli utenti esterni. Per compiere questa operazione occorre effettuare una traduzione automatica degli indirizzi di rete, detta NAT (Network Address Translation). Ovviamente è molto più semplice a farsi che a dirsi poichè viene fatto tutto in automatico.
Se per esempio abbiamo bisogno di pubblicare un sito web presente su un server interno alla nostra rete, dovremo effettuare il forward della porta 80 (HTTP) verso il server interno alla nostra rete.

Ora vediamo come effettuare una configurazione di questo tipo

Selezioniamo Firewall > NAT > PortForward e clicchiamo su Add
Ora dobbiamo configurare la nostra regola di NAT nel modo seguente:
Interface: WAN
Protocol: TCP
Destination: WAN address
Destination port Range from HTTP to HTTP

Fino ad ora abbiamo specificato cosa vogliamo ridirigere, il prossimo passo è indicare verso cosa.

Redirect target IP: 192.168.0.13
Redirect target port: HTTP

Ora clicchiamo su Save

Per default la creazione di una regola di NAT genera anche la rispettiva regola di firewall per consentire il traffico di cui si sta facendo NAT. Per l'ordine di applicazione delle regole di NAT e firewall consiglio la lettura di questo post: "Ordine di applicazione delle regole di NAT e firewall"




E'importante ricordare che non è obbligatorio effettuare il forward da una porta ad una stessa porta (es: WAN:80 -> LAN:80) ma è anche possibile effettuare quello che a volte viene definito PAT (Port Address Translation). Per esempio, dopo aver pubblicato la porta 80 del server WEB vogliamo anche poter accedere all'interfaccia di admin di pfSense. Dato che la porta 80 è già stata occupata con il forward verso il server web possiamo ovviare al problema cambiando porta ed usando per esempio la 8080.
Nel nostro caso supponendo di avere l'IP 192.168.0.1 assegnato all'interfaccia del firewall la regola verrà creata come segue:


Interface: WAN
Protocol: TCP
Destination: WAN address
Destination port Range from 8080 to 8080
Redirect target IP: 192.168.0.1
Redirect target port: HTTP

Dopo aver creato le nostre regole di NAt ricordiamoci di applicare la configurazione cliccandio su Apply changes

La gestione delle regole di NAT come la gestione delle regole di firewall possono sembrare concetti semplici e scontati ma sono pursempre le basi per la corretta configurazione e gestione di un firewall.
Posta un commento