Utilizzare gli Alias in pfSense

Gli Alias in pfSense sono dei placeholders per IP, Network, Porte e FQDN

Rappresentano uno strumento molto utile al fine di migliorare la comprensione delle regole che creiamo e la loro modifica in modo massivo.

Per gestire gli Alias dobbiamo posizionarci su Firewall > Alias

E' consigliato stabilire una nomenclatura standard per mantenere ordine e leggibilità

Cliccando su Add possiamo aggiungere un Alias assegnadogli un nome secondo la nomenclatura stabilita, scegliendo il tipo (host, port, ip table, ecc) ed inserendone infine i valori.

Gli Alias sono utilizzabili in modo annidato e per contenere più valori contemporaneamente.

Possono essere utilizzati in diversi punti della configurazione per creare regole e si autocompletano e autovalidano: se inizio a scrivere il nome di un alias in un campo, il sistema mi suggerisce con l'autocompletamento tutti i nome che matchano, ma solo se sono alias compatibili con quella tipologia di campo (es. un Port Alias mi sarà proposto solo in un campo dove va indicata una porto o un port range).

Creare Regole di NAT in pfSense - Parte 1

NAT IN PFSENSE

Il Network Address Translation (NAT) è una tecnica utilizzata per modificare gli indirizzi IP nei pacchetti di rete mentre transitano attraverso un router o un firewall. pfSense offre potenti funzionalità di NAT che possono essere configurate per gestire sia il traffico in entrata (inbound) che quello in uscita (outbound).
NAT InbounD.

NAT INBOUND

Il NAT Inbound, noto anche come Port Forwarding, consente di reindirizzare il traffico proveniente dall’esterno verso un indirizzo IP interno specifico. 

Questo è utile quando si desidera rendere accessibili servizi interni, come un server web, agli utenti esterni.

Configurazione del NAT Inbound su pfSense

Navigare su Firewall - NAT: Selezionare la scheda “Port Forward”.

Aggiungere una nuova regola: Cliccare su “Add” per creare una nuova regola di port forwarding.

Configurare i dettagli della regola:

Interface: Selezionare l’interfaccia WAN.
Protocol: Scegliere il protocollo (TCP).
Destination: Selezionare “WAN address”.
Destination Port Range: Inserire la porta esterna
Redirect Target IP: Inserire l’indirizzo IP interno del server
Redirect Target Port: Inserire la porta interna
Salvare e applicare le modifiche: Cliccare su “Save” e poi su “Apply Changes”.

Esempio di NAT Inbound

Supponiamo di avere un server web interno con l’indirizzo IP 192.168.1.100 e di voler rendere accessibile il sito web tramite HTTPS su Internet. La configurazione della regola di port forwarding sarà la seguente:

NAT Outbound

Il NAT Outbound, noto anche come Source NAT, controlla come gli indirizzi IP interni vengono tradotti quando il traffico esce dalla rete locale verso Internet. Questo è utile per nascondere gli indirizzi IP interni e utilizzare un singolo indirizzo IP pubblico.

Configurazione del NAT Outbound su pfSense

Navigare a Firewall - NAT: Selezionare la scheda “Outbound”.

Selezionare la modalità di NAT Outbound: Scegliere tra Automatic, Hybrid, o Manual.

• Automatic: pfSense gestisce automaticamente le regole di NAT Outbound.
• Hybrid: Consente di aggiungere regole manuali mantenendo quelle automatiche.
• Manual: Tutte le regole devono essere configurate manualmente.

Aggiungere una nuova regola (se in modalità Hybrid o Manual):

Interface: Selezionare l’interfaccia WAN.

Source: Inserire l’indirizzo IP del dispositivo interno

Source Port Range: Lasciare vuoto per tutte le porte.

Destination: Inserire l’indirizzo IP di destinazione

Translation / target: Selezionare “Interface address”.

Salvare e applicare le modifiche: Cliccare su “Save” e poi su “Apply Changes”.

Esempio di NAT Outbound

Supponiamo di avere un centralino con l’indirizzo IP 192.168.1.120 che deve contattare un SIP provider con l’indirizzo IP pubblico 1.2.3.4 presentandosi con un IP pubblico diverso da quello su cui è attestata l'interfaccia WAN del firewall. La configurazione della regola di NAT Outbound sarà la seguente:

Creare regole di firewall in pfSense - parte 1

Le regole del firewall in pfSense sono fondamentali per controllare il traffico tra le reti ad esso connesse, che siano esse reti Internet (WAN)  o reti locali (LAN).

Le caratteristiche principali delle regole di firewall in pfSense sono:

1. Azione: Ogni regola può avere un’azione specifica:
• Pass: Permette al traffico di passare attraverso il firewall.
• Block: Scarta il traffico senza inviare alcuna risposta.
• Reject: Scarta il traffico e invia un messaggio al mittente indicando che la connessione è stata rifiutata
2. Interfaccia: Specifica l’interfaccia su cui applicare la regola. La regola è sempre applicata in ingresso all'interfaccia in questione. In altre parole, le regole dell’interfaccia LAN si applicano al traffico proveniente dalla rete locale (LAN), mentre le regole dell’interfaccia WAN si applicano al traffico proveniente da Internet.
3. Versione TCP/IP: Puoi specificare se la regola si applica solo a IPv4, IPv6 o entrambi.
4. Protocollo: Indica il protocollo, ad esempio, TCP, UDP o ICMP.
5. Origine e destinazione: Le regole possono specificare sia l’indirizzo IP che la porta/e di origine che quelli di destinazione. Ad esempio, puoi consentire il traffico solo da un indirizzo IP specifico verso il centralino VoIP sulla VLAN fonia.
6. Ordine di valutazione: Le regole vengono valutate dall’alto verso il basso. La prima regola corrispondente viene applicata. L’ordine delle regole è perciò fondamentale affinchè il firewall si comporti come desiderato.
7. Negazione implicita: Se non c’è una regola corrispondente, il traffico viene implicitamente negato. 

Ecco alcuni esempi:

1. Regola per permettere il traffico da Internet verso un web server interno posizionato nella LAN:

   - Web Server:

     - Nome della regola: "Permetti traffico HTTPS al Web Server"

     - Interfaccia: WAN

     - Protocollo: TCP

     - Porte: 80 (HTTP) e 443 (HTTPS)

     - Origine: Qualsiasi

     - Destinazione: Indirizzo IP del web server nella LAN

     - Azione: Pass

2. Regola che rigetta il traffico RDP dalla VLAN Users alla VLAN Server:

     - Nome della regola: "Blocco traffico RDP tra VLAN Users e VLAN Server"

     - Interfaccia: VLAN Users

     - Protocollo: TCP

     - Porta: 3389 (RDP)

     - Origine: VLAN Users

     - Destinazione: VLAN Server

     - Azione: Reject

E' possibile poi specificare ulteriori parametri per controllare in modo ancor più  granulare le regole (gateway da utlizzare, limiter, logging, ecc.), è possibile aggregare IP, subnet o porte tramite alias e molto altro ancora che scopriremo negli articoli delle prossime settimane.

Stay tuned!