Configurando NAT no PFSense


Hoje aprenderemos como configurar um NAT através do Firewall PFSense. Mas o que é um NAT?

 



 

NAT é a sigla para o termo Network Address Translation e nada mais é que a transformação de um endereço de rede interna para um endereço de rede da internet. Com ele é possível direcionar um pacote que está entrando através de uma determinada interface WAN para uma máquina ligada a uma interface LAN.

 

Exemplo:

 

Você tem um banco de dados instalado em uma máquina linux e precisa tornar esse banco de dados acessível para locais remotos. Você publicará um endereço da internet, seja ele um ip fixo ou um dns dinâmico, e uma determinada porta. Quem precisar acessar o banco de dados remotamente precisará apenas dessas duas informações. Então no PFSense você fará uma configuração, que pegará todos os pacotes que estiverem entrando na sua interface e combinarem com essas informações, e direcionará para o seu servidor linux da sua rede.

 

Caso você queira saber como configurar um DNS Dinâmico diretamente no PFSense, clique aqui.

 

Para o tutorial faremos um exemplo bem simples, para facilitarmos o entendimento. Usaremos duas máquinas virtuais uma para o próprio firewall pfsense, e outra com um linux ubuntu server, que acessaremos via SSH de um endereço de internet.

 

Importante:

 

Se a sua WAN recebe um endereço privado, ou seja, um endereço de rede local das classes A, B ou C. É possível que uma configuração adicional precise ser feita no seu roteador ou antena. Se for o caso e você não souber como proceder, deixe um comentário e eu ajudarei no que for possível.

 

 

Lembrando mais uma vez que o tutorial será feito com a versão 2.3.2 do PFSense, mas é aplicável para as versões mais antigas. Alguns termos e nomes podem mudar, mas na maioria são todos equivalentes.

 

Vamos lá!!!

 

1 – Acesse a interface web do seu servidor PFSense, clique em Firewall, depois em NAT.

 

NAT01

 

2 – Note na tela abaixo que existem algumas abas, onde cada uma delas trata de um tipo diferente de NAT. Nesse caso utilizaremos o tipo “Port Forward”, que trata justamente do direcionamento de portas. Clique em ADD, para adicionar uma nova regra. Nas versões anteriores, o botão tem um desenho do simbolo “+”. Os dois botões de ADD que aparecem na imagem se tratam da posição na qual a nova linha entrará, se será a primeira de cima ou a primeira de baixo. O firewall lê as regras de cima para baixo, em caso de duas semelhantes ou iguais, é válida sempre a primeira.

 

NAT02

 

3 – A tela abaixo é onde devemos colocar as informações referente ao nosso NAT. As mais importantes são:

 

Disable: Ao se marcar essa caixa, a regra fica desabilitada.

 

Interface: A qual interface pertence o endereço de entrada, no nosso caso a interface é WAN

 

Protocol: Qual protocolo usado, nesse caso será TCP

 

Destination: Aqui tratamos as informações do destino que o acesso remoto estará usando, no nosso caso o endereço é o da própria WAN, por isso utilizaremos a variável WAN Address e a porta será a porta 22.

 

Redirect target IP: Aqui colocaremos o ip da nossa máquina Linux que será acessada através do SSH, nesse caro será preenchido com o endereço 192.168.0.101.

 

Redirect target port: A porta em que o nosso servidor linux aceitará a conexão, quem também é a 22. Nada impede que no campo destination coloquemos uma outra porta qualquer e aqui nesse campo mantemos a 22. Se colocarmos a 22222 em cima por exemplo, o acesso remoto será feito pelo endereço da WAN na porta 22222, mas nós direcionaremos aqui esse acesso para a porta 22, não sendo necessária qualquer configuração no nosso servidor linux em questão.

 

NAT03

 

4 – Continuando na mesma tela, ainda temos mais uma configuração muito importante. No campo “Filter Rule Association” devemos deixar “Add associanted filter rule”. Dessa forma, será acrescentada automaticamente nas regras de firewall, uma regra na aba WAN aceitando os pacotes para esse destino. Também é possível colocar uma descrição para facilitar na organização das regras e na sua eventual documentação do servidor.

 

NAT04

 

5 – Após feitas as configurações, a tela NAT deverá aparecer com uma linha parecida com a imagem abaixo.

 

NAT05

 

6 – Note que nas regras de firewall apareceu uma regra aceitando os pacotes conforme falado anteriormente.

 

NAT06

 

Após esses passos conseguiremos acessar esse servidor linux, via SSH de qualquer lugar do mundo. Existem boas práticas de segurança e formas de limitar esse acesso que não foram abordadas nesse tutorial. Qualquer dúvida a respeito desse assunto, deixem um comentário e eu tentarei ajudar no que eu puder.

 

Obrigado pela atenção de todos.