«

»

ago 15

pfSense: Publicando serviços através de NAT, usando range de endereços IP públicos

pfSense_2

 

Neste artigo irei mostrar como publicar serviços da rede interna ou até mesmo de uma DMZ, usando o range de endereços IP contratado com a operadora de internet.

Solução

As vezes precisamos publicar servidores da nossa rede para serem alcançados através da internet por pessoas que podem estar em qualquer parte do mundo, como por exemplo servidor Web, de Email, VPN, FTP ou qualquer outro serviço. Como temos um link dedicado com uma operadora de internet e neste link temos além do IP WAN atribuído ao pfSense, temos também outros números IP que fazem parte da rede, do nosso range de endereços, então queremos usar alguns destes IP para publicar serviços de alguns de nossos servidores.

No pfSense isso é possível através do uso de VIP – Virtual IP, vejamos como funciona.

Neste cenário eu tenho o seguinte range de endereços IP contratado com a operadora de internet:

clip_image001

http://www.subnet-calculator.com/

Onde tenho:

Números IP disponíveis: 14

Máscara de Sub-Rede: 255.255.255.240 ou /28

Ranger: 192.168.100.97 até 192.168.100.110

Endereço da rede: 192.168.100.96 e Broadcast: 192.168.100.111

Gateway: 192.168.100.97

IP atribuído ao pfSense: 192.168.100.101

Então, vou publicar o seguinte serviço na internet.

Servidor RDP: IP LAN – 192.168.0.10 – IP publicado na WAN – 192.168.100.98

Acesse o menu Firewall > Virtual IPs

clip_image003

Cliquei no botão “+” ao lado para adicionar um novo IP Virtual, em seguida você estará na tela abaixo.

clip_image005

Marque a opção IP Alias, Interface WAN, digite o endereço IP do range WAN que você quer usar na publicação do serviço, coloque a máscara de sub-rede correta, neste caso é /28 e abaixo em Descrição coloque o nome do serviço que está sendo publicado, veja que coloquei como RDP, mas você pode colocar o que achar melhor, como por exemplo: Serviço RDP do Servidor de Aplicação ERP.

Clique no botão Save e em seguida em Apply Changes para aplicar as alterações.

clip_image007

Aqui vemos o VIP devidamente criado.

Depois disso basta ir no Menu Firewall novamente e clicar em NAT.

clip_image009

Clica no botão “+” para adicionar uma nova regra de NAT.

clip_image011clip_image013

Então definimos aqui, a Interface que tem que ser a WAN por onde os pacotes vão entrar, Protocolo TCP, Destino selecionei o VIP que foi criado com um dos números IP disponíveis no range contratado junto a operadora (192.168.100.98 RDP), Porta de Destino selecionei MS RDP que refere-se a porta 3389 usado pelo serviço de Acesso Remoto do Windows, no IP alvo (Redirect taget port) coloco o IP LAN do servidor a ser alcançado, no caso o servidor que tem o serviço de acesso remoto habilitado e que precisa ser acessado a partir da internet e por fim repito a porta MS RDP e coloco uma Descrição para identificar a regra NAT, em seguida clico em Save.

clip_image015

O NAT foi criado, não esquecer de clicar em Apply changes para que o pfSense aplique a nova configuração, lembro que o pfSense também cria automaticamente a regra de firewall que libera este NAT, por causa da opção Filter Rule Association que mantemos como padrão.

clip_image016

Vá no menu Firewall > Rules, na aba WAN você verá a regra criada.

Conclusão

Neste artigo vimos como publicar serviços na internet, usando um endereço IP público que faz parte do pool de endereços contratado com a operadora, publicamos um servidor RDP com IP público 192.168.100.98 pela interface WAN do pfSense, que por sua vez tem o IP 192.168.100.101 atribuído na sua interface.

Ressalto que este cenário é meramente ilustrativo, por isso usei números IP privados na interface WAN, porém os passos deste artigo servirão perfeitamente em produção real, onde normalmente você tem números IP que começam com 189.x.x.x, 200.x.x.x, 201.x.x.x, etc, em seus endereços públicos.

 

Obs: Este artigo foi feito motivado pela dúvida de um leitor aqui do blog, o Wilson Fernandes da SIDCON Tecnologia de Sistemas.

 

Até o próximo artigo !

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata.
Consultor, Professor e Palestrante.

Facebook Twitter LinkedIn Google+ Skype 

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata. Consultor, Professor e Palestrante.

29 comentários

Pular para o formulário de comentário

  1. Renilson

    Parabéns pelo post.

    1. Ivanildo Galvão

      Obrigado Renilson !

  2. reinaldo

    com este ip eu consigo acessar meu firewall de fora de minha rede, ou preciso adcionar algum redirecionamento?

    1. Ivanildo Galvão

      Olá, consegue sim, nem precisa de NAT, basta criar uma regra de firewall na interface WAN, com o destino “WAN Address” na porta 443.

      Sucesso !

  3. Denys

    Boa tarde Ivanildo, comecei a trabalhar a pouco tempo com o pfsense, tenho a seguinte dúvida, tenho sistema web hospedado em servidor dentro da minha rede interna, fiz uma nat e consegui colocar ele para os clientes acessarem de fora da rede,mas rede interna preciso utilizar o IP interno do servidor, quero saber se é possível criar alguma regra para tanto os clientes como os usuários da rede interna acessarem utilizando o mesmo IP?

  4. Willians Oliveira

    Ótimos matériais sobre o pfsense! Dúvida….imagine que eu tenha 2 links WANs (Ex, WAN1 – Embratel | WAN2 – Vivo).
    O pfsense permite que em uma publicação NAT (port forwarding) eu utilize as duas interfaces WANs ao mesmo tempo na mesma regra para acessar o dispositivo atras dessa publicação?

    O motivo da pergunta é que no cenário do link principal cair, gostaria de alguma maneira da publicação estar disponivel no Link backup sem ter que ficar alterando a NAT quando um dos links cair.

    abçs!

    1. Ivanildo Galvão

      Olá, sim, mas precisa configurar o grupo NLB e coloca-lo como gateway na regra.
      Outra forma é criar duas regras de NAT, cada uma para a sua WAN, funciona primeira.

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  5. Diego

    Boa tarde Ivanildo, Algumas pessoas aqui da empresa as vezes trabalha de casa, e precisa ter acesso a sua máquina de fora da rede. Criei uma regra NAT para liberar o acesso RDP com os devidos redirecionamentos, porém quando tento acessar de fora atravez do MSTSC aparece a mensagem “CONFIGURANDO A SESSÃO REMOTA”, e não sai dessa tela, fica uns 10 a 15 minutos. Minha provedora de internet já liberou as devidas portas. Não sei mais o que faço. Ajuda por favor.

    1. Ivanildo Galvão

      Chegou a testar fazendo o NAT para cair em outra maquina ? Pode ser a máquina Windows com algum problema na negociação RDP.

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  6. Gustavo Trindade

    Há muito tempo venho tentando fazer essa configuração no meu pfsense, sempre faltava algum detalhe. Mas essa sua explicação foi simples didática e direta. Sem rodeios. Me resolveu um problema que há muito tentava resolver.
    Obrigado pelo compartilhamento do conheço. Parabéns pelo trabalho.

  7. Natalia

    Oi Ivanildo, mais uma vez seus artigos estão me ajudando muito. Obrigada!
    Tenho uma dúvida. Meu cenário é bem parecido com esse que vc exemplificou. Tenha duas WAN’s, uma que possui um poll de endereços válidos (onde tenho alguns servidores web que são acessados de fora, cada um com seu IP válido ), e outra apenas para compartilhamento de internet para a LAN.

    Hoje não uso o pfsense como Firewall de borda na Wan dos servidores web, mas gostaria de configurar isso. Por exemplo, gostaria de chegar com a Wan que possui IP valido em uma interface do PFsense e filtrar tudo que entra e sai em meus servidores web. Estava imaginado que bastava ter uma interface recebendo o Link Wan com ip válido e outra saindo para o switch onde os servidores com IP valido e então fazer as regras de entrada e saída em firewall/rules –> WAN
    Porém, lendo alguns artigos vi que não é bem assim, porém ainda não consegui entender como deveria configurar o Pfsense para atender o meu cenário. Você pode me ajudar?

    Desde já agradeço.

    Obrigada e parabéns pelos vídeos!

    1. Ivanildo Galvão

      Olá, obrigado pelo feedback, pelo o que entendi você quer configurar NAT de entrada para o servidor Web, se for isso, veja este vídeo.
      http://www.ivanildogalvao.com.br/seguranca/pfsense-firewall-e-roteamento
      Nele também falo de criação de regras de firewall para saída.

      Sucesso !

      1. Natalia

        Olá Ivanildo. Obrigada por me responder.
        Vi o vídeo que você me indicou, porém existe um diferença. Todos os meus servidores (web, dns por exemplo) possuem cada um seu IP válido. Nesse caso eu não precisaria fazer um port forward certo? Como devo proceder nesse caso?

        Obrigada

        1. Ivanildo Galvão

          Olá, este link vai te ajudar http://www.ivanildogalvao.com.br/seguranca/pfsensenatvip

          Sucesso !

  8. Rafael Gurgel

    Ivanildo Galvão,

    Preciso da sua ajuda, antes de tudo, parabéns, gostei bastante dos materiais que você disponibilizou. Recentemente atualizei o meu Pfsense para 2.2.6, e todos os NAT que eu havia feito estão ok, menos o SSH, realizei o procedimento acima e ele funciona para todas as portas para qual eu direciono, menos na 22, você pode me auxiliar.?

    Att

    1. Ivanildo Galvão

      Olá, a porta 22 do pfSense está habilitada ? Se sim, desative, porque os pacotes vão cair nela.
      Estou considerando que você quer abrir a porta 22 para uma maquina por traz do pfSense, por isso está usando o NAT e quanto ao NAT, não tem mistério mesmo, é da mesma forma que você fez com as outras portas.

  9. Fernando

    Primeiramente, parabéns pela postagem. Muito bom.

    Ivanildo, só fiquei com um duvida agora, com relação a conexão das placas na rede.

    Tenho que espetar as duas placas de rede do meu servidor web (placa com ip publico e placa com ip privado) n switch da minha lan?
    E quando tentar o acesso externo no meu IP virtual o próprio pfsense fará o redirecionamento para o meu ip invalido?

    1. Ivanildo Galvão

      Olá, o correto é a porta LAN do pfSense estar ligada no switch e a porta WAN tem que estar ligada ao equipamento da internet, seja ele modem ou roteador da operadora. Desta forma o pfSense pegará o IP público, não coloque as duas interfaces no mesmo Switch, dará confusão, com certeza.

      Sucesso !

  10. aurelio maica

    Obrigado pelas contribuições Ivanildo Galvão. Esse procedimento iria bem com um server de email?

    1. Ivanildo Galvão

      Olá, de nada amigo.

      Sim com certeza, basta publicar as portas certas.

      Abs !

  11. Alexandre Cruz

    Bom dia, Ivanildo,

    no meu caso, 2 links, WAN1 – ALGAR e WAN2 – EMBRATEL

    No Algar tenho um /28 – 187.XX.XX.97/28 gw 187.XX.XX.110

    e no Embratel um /29 – 187.XX.XX.65/29 gw 187.XX.XX.64

    Em vez de ips virtuais, crie interfaces virtuais no VMware, e coloquei cada interface, o ip, utilizando o Gateway correspondente.

    Porém sempre a saida acaba pegando o ip .97 ou .65
    Teria como criar o ip virtual para indicar a saída ?

    1. Ivanildo Galvão

      Oi Alexandre, sim, neste caso configure o NAT Outbound para a rede ou para o equipamento que precisa sair sempre pelo determinado IP publico.

      Abs !

  12. Ricardo Dias

    Olá Ivanildo, parabéns pelo artigo e por compartilhar o seu conhecimento :).

    Tenho a seguinte situação, após instalar o pfSense, passei a utilizar a interface LAN para distribuir IPs internos para toda rede. Temos um aparelho de vídeo conferência “Polycom VSX 7000″, onde recebemos uma chamada de fora para que a conferência ocorra, agora, ele tem um IP interno. Segui a sua explicação, mas acabei por me perder sobre as portas, pelos vistos o aparelho utiliza portas TCP/UDP. e não aparece essa opção no “Redirect Target Port”, como aplicaria para este caso, consegue me confirmar que portas devo liberar? Este caso que explicou serve para o meu cenário aqui?

    Obrigado.

    Abçs!

    1. Ivanildo Galvão

      Oi Ricardo, no momento da liberação das portas no NAT, você pode informar que o tipo é TCP/UDP ao mesmo tempo.
      Publicar portas para Polycom é chatinho viu cara, tenho um cliente com pfSense que não conseguiu fazer isso funcionar direito nem a pau, então acabou botando o Polycom dele em um link de internet independente, mas faça o que eu disse e testa, libera TCP/UPD no NAT para as mesmas portas.

      Abs !

  13. Julio

    Boa tarde brother, tenho o mesmo problema que o nosso amigo acima.

    “Boa tarde Ivanildo, comecei a trabalhar a pouco tempo com o pfsense, tenho a seguinte dúvida, tenho sistema web hospedado em servidor dentro da minha rede interna, fiz uma nat e consegui colocar ele para os clientes acessarem de fora da rede,mas rede interna preciso utilizar o IP interno do servidor, quero saber se é possível criar alguma regra para tanto os clientes como os usuários da rede interna acessarem utilizando o mesmo IP?”

    Porém eu habilitei o nat reflection e não funciona….. fiz várias tentativas ….. pode me ajudar …. estou na 2.3.2-RELEASE-p1 (amd64)….

    1. Ivanildo Galvão

      Habilite o NAT Reflection e selecione a opção Firewall + Proxy.

      Sucesso !

  14. Rafael Pessoa

    Muito obrigado, me ajudou muito =D já tinha um tempo que estava quebrando a cabeça de como resolver!

    1. Ivanildo Galvão

      De nada :)

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pinterest
Email