Neste artigo irei mostrar como publicar serviços da rede interna ou até mesmo de uma DMZ, usando o range de endereços IP contratado com a operadora de internet.
Solução
As vezes precisamos publicar servidores da nossa rede para serem alcançados através da internet por pessoas que podem estar em qualquer parte do mundo, como por exemplo servidor Web, de Email, VPN, FTP ou qualquer outro serviço. Como temos um link dedicado com uma operadora de internet e neste link temos além do IP WAN atribuído ao pfSense, temos também outros números IP que fazem parte da rede, do nosso range de endereços, então queremos usar alguns destes IP para publicar serviços de alguns de nossos servidores.
No pfSense isso é possível através do uso de VIP – Virtual IP, vejamos como funciona.
Neste cenário eu tenho o seguinte range de endereços IP contratado com a operadora de internet:
http://www.subnet-calculator.com/
Onde tenho:
Números IP disponíveis: 14
Máscara de Sub-Rede: 255.255.255.240 ou /28
Ranger: 192.168.100.97 até 192.168.100.110
Endereço da rede: 192.168.100.96 e Broadcast: 192.168.100.111
Gateway: 192.168.100.97
IP atribuído ao pfSense: 192.168.100.101
Então, vou publicar o seguinte serviço na internet.
Servidor RDP: IP LAN – 192.168.0.10 – IP publicado na WAN – 192.168.100.98
Acesse o menu Firewall > Virtual IPs
Cliquei no botão “+” ao lado para adicionar um novo IP Virtual, em seguida você estará na tela abaixo.
Marque a opção IP Alias, Interface WAN, digite o endereço IP do range WAN que você quer usar na publicação do serviço, coloque a máscara de sub-rede correta, neste caso é /28 e abaixo em Descrição coloque o nome do serviço que está sendo publicado, veja que coloquei como RDP, mas você pode colocar o que achar melhor, como por exemplo: Serviço RDP do Servidor de Aplicação ERP.
Clique no botão Save e em seguida em Apply Changes para aplicar as alterações.
Aqui vemos o VIP devidamente criado.
Depois disso basta ir no Menu Firewall novamente e clicar em NAT.
Clica no botão “+” para adicionar uma nova regra de NAT.
Então definimos aqui, a Interface que tem que ser a WAN por onde os pacotes vão entrar, Protocolo TCP, Destino selecionei o VIP que foi criado com um dos números IP disponíveis no range contratado junto a operadora (192.168.100.98 RDP), Porta de Destino selecionei MS RDP que refere-se a porta 3389 usado pelo serviço de Acesso Remoto do Windows, no IP alvo (Redirect taget port) coloco o IP LAN do servidor a ser alcançado, no caso o servidor que tem o serviço de acesso remoto habilitado e que precisa ser acessado a partir da internet e por fim repito a porta MS RDP e coloco uma Descrição para identificar a regra NAT, em seguida clico em Save.
O NAT foi criado, não esquecer de clicar em Apply changes para que o pfSense aplique a nova configuração, lembro que o pfSense também cria automaticamente a regra de firewall que libera este NAT, por causa da opção Filter Rule Association que mantemos como padrão.
Vá no menu Firewall > Rules, na aba WAN você verá a regra criada.
Conclusão
Neste artigo vimos como publicar serviços na internet, usando um endereço IP público que faz parte do pool de endereços contratado com a operadora, publicamos um servidor RDP com IP público 192.168.100.98 pela interface WAN do pfSense, que por sua vez tem o IP 192.168.100.101 atribuído na sua interface.
Ressalto que este cenário é meramente ilustrativo, por isso usei números IP privados na interface WAN, porém os passos deste artigo servirão perfeitamente em produção real, onde normalmente você tem números IP que começam com 189.x.x.x, 200.x.x.x, 201.x.x.x, etc, em seus endereços públicos.
Obs: Este artigo foi feito motivado pela dúvida de um leitor aqui do blog, o Wilson Fernandes da SIDCON Tecnologia de Sistemas.
Até o próximo artigo !
Parabéns pelo post.
Obrigado Renilson !
com este ip eu consigo acessar meu firewall de fora de minha rede, ou preciso adcionar algum redirecionamento?
Olá, consegue sim, nem precisa de NAT, basta criar uma regra de firewall na interface WAN, com o destino “WAN Address” na porta 443.
Sucesso !
Boa tarde Ivanildo, comecei a trabalhar a pouco tempo com o pfsense, tenho a seguinte dúvida, tenho sistema web hospedado em servidor dentro da minha rede interna, fiz uma nat e consegui colocar ele para os clientes acessarem de fora da rede,mas rede interna preciso utilizar o IP interno do servidor, quero saber se é possível criar alguma regra para tanto os clientes como os usuários da rede interna acessarem utilizando o mesmo IP?
Olá,
Habilite o NAT Reflection.
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks
Sucesso !
Ótimos matériais sobre o pfsense! Dúvida….imagine que eu tenha 2 links WANs (Ex, WAN1 – Embratel | WAN2 – Vivo).
O pfsense permite que em uma publicação NAT (port forwarding) eu utilize as duas interfaces WANs ao mesmo tempo na mesma regra para acessar o dispositivo atras dessa publicação?
O motivo da pergunta é que no cenário do link principal cair, gostaria de alguma maneira da publicação estar disponivel no Link backup sem ter que ficar alterando a NAT quando um dos links cair.
abçs!
Olá, sim, mas precisa configurar o grupo NLB e coloca-lo como gateway na regra.
Outra forma é criar duas regras de NAT, cada uma para a sua WAN, funciona primeira.
Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉
Sucesso !
Boa tarde Ivanildo, Algumas pessoas aqui da empresa as vezes trabalha de casa, e precisa ter acesso a sua máquina de fora da rede. Criei uma regra NAT para liberar o acesso RDP com os devidos redirecionamentos, porém quando tento acessar de fora atravez do MSTSC aparece a mensagem “CONFIGURANDO A SESSÃO REMOTA”, e não sai dessa tela, fica uns 10 a 15 minutos. Minha provedora de internet já liberou as devidas portas. Não sei mais o que faço. Ajuda por favor.
Chegou a testar fazendo o NAT para cair em outra maquina ? Pode ser a máquina Windows com algum problema na negociação RDP.
Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉
Sucesso !
Há muito tempo venho tentando fazer essa configuração no meu pfsense, sempre faltava algum detalhe. Mas essa sua explicação foi simples didática e direta. Sem rodeios. Me resolveu um problema que há muito tentava resolver.
Obrigado pelo compartilhamento do conheço. Parabéns pelo trabalho.
Oi Ivanildo, mais uma vez seus artigos estão me ajudando muito. Obrigada!
Tenho uma dúvida. Meu cenário é bem parecido com esse que vc exemplificou. Tenha duas WAN’s, uma que possui um poll de endereços válidos (onde tenho alguns servidores web que são acessados de fora, cada um com seu IP válido ), e outra apenas para compartilhamento de internet para a LAN.
Hoje não uso o pfsense como Firewall de borda na Wan dos servidores web, mas gostaria de configurar isso. Por exemplo, gostaria de chegar com a Wan que possui IP valido em uma interface do PFsense e filtrar tudo que entra e sai em meus servidores web. Estava imaginado que bastava ter uma interface recebendo o Link Wan com ip válido e outra saindo para o switch onde os servidores com IP valido e então fazer as regras de entrada e saída em firewall/rules –> WAN
Porém, lendo alguns artigos vi que não é bem assim, porém ainda não consegui entender como deveria configurar o Pfsense para atender o meu cenário. Você pode me ajudar?
Desde já agradeço.
Obrigada e parabéns pelos vídeos!
Olá, obrigado pelo feedback, pelo o que entendi você quer configurar NAT de entrada para o servidor Web, se for isso, veja este vídeo.
http://www.ivanildogalvao.com.br/seguranca/pfsense-firewall-e-roteamento
Nele também falo de criação de regras de firewall para saída.
Sucesso !
Olá Ivanildo. Obrigada por me responder.
Vi o vídeo que você me indicou, porém existe um diferença. Todos os meus servidores (web, dns por exemplo) possuem cada um seu IP válido. Nesse caso eu não precisaria fazer um port forward certo? Como devo proceder nesse caso?
Obrigada
Olá, este link vai te ajudar http://www.ivanildogalvao.com.br/seguranca/pfsensenatvip
Sucesso !
Ivanildo Galvão,
Preciso da sua ajuda, antes de tudo, parabéns, gostei bastante dos materiais que você disponibilizou. Recentemente atualizei o meu Pfsense para 2.2.6, e todos os NAT que eu havia feito estão ok, menos o SSH, realizei o procedimento acima e ele funciona para todas as portas para qual eu direciono, menos na 22, você pode me auxiliar.?
Att
Olá, a porta 22 do pfSense está habilitada ? Se sim, desative, porque os pacotes vão cair nela.
Estou considerando que você quer abrir a porta 22 para uma maquina por traz do pfSense, por isso está usando o NAT e quanto ao NAT, não tem mistério mesmo, é da mesma forma que você fez com as outras portas.
Primeiramente, parabéns pela postagem. Muito bom.
Ivanildo, só fiquei com um duvida agora, com relação a conexão das placas na rede.
Tenho que espetar as duas placas de rede do meu servidor web (placa com ip publico e placa com ip privado) n switch da minha lan?
E quando tentar o acesso externo no meu IP virtual o próprio pfsense fará o redirecionamento para o meu ip invalido?
Olá, o correto é a porta LAN do pfSense estar ligada no switch e a porta WAN tem que estar ligada ao equipamento da internet, seja ele modem ou roteador da operadora. Desta forma o pfSense pegará o IP público, não coloque as duas interfaces no mesmo Switch, dará confusão, com certeza.
Sucesso !
Obrigado pelas contribuições Ivanildo Galvão. Esse procedimento iria bem com um server de email?
Olá, de nada amigo.
Sim com certeza, basta publicar as portas certas.
Abs !
Bom dia, Ivanildo,
no meu caso, 2 links, WAN1 – ALGAR e WAN2 – EMBRATEL
No Algar tenho um /28 – 187.XX.XX.97/28 gw 187.XX.XX.110
e no Embratel um /29 – 187.XX.XX.65/29 gw 187.XX.XX.64
Em vez de ips virtuais, crie interfaces virtuais no VMware, e coloquei cada interface, o ip, utilizando o Gateway correspondente.
Porém sempre a saida acaba pegando o ip .97 ou .65
Teria como criar o ip virtual para indicar a saída ?
Oi Alexandre, sim, neste caso configure o NAT Outbound para a rede ou para o equipamento que precisa sair sempre pelo determinado IP publico.
Abs !
Olá Ivanildo, parabéns pelo artigo e por compartilhar o seu conhecimento :).
Tenho a seguinte situação, após instalar o pfSense, passei a utilizar a interface LAN para distribuir IPs internos para toda rede. Temos um aparelho de vídeo conferência “Polycom VSX 7000”, onde recebemos uma chamada de fora para que a conferência ocorra, agora, ele tem um IP interno. Segui a sua explicação, mas acabei por me perder sobre as portas, pelos vistos o aparelho utiliza portas TCP/UDP. e não aparece essa opção no “Redirect Target Port”, como aplicaria para este caso, consegue me confirmar que portas devo liberar? Este caso que explicou serve para o meu cenário aqui?
Obrigado.
Abçs!
Oi Ricardo, no momento da liberação das portas no NAT, você pode informar que o tipo é TCP/UDP ao mesmo tempo.
Publicar portas para Polycom é chatinho viu cara, tenho um cliente com pfSense que não conseguiu fazer isso funcionar direito nem a pau, então acabou botando o Polycom dele em um link de internet independente, mas faça o que eu disse e testa, libera TCP/UPD no NAT para as mesmas portas.
Abs !
Boa tarde brother, tenho o mesmo problema que o nosso amigo acima.
“Boa tarde Ivanildo, comecei a trabalhar a pouco tempo com o pfsense, tenho a seguinte dúvida, tenho sistema web hospedado em servidor dentro da minha rede interna, fiz uma nat e consegui colocar ele para os clientes acessarem de fora da rede,mas rede interna preciso utilizar o IP interno do servidor, quero saber se é possível criar alguma regra para tanto os clientes como os usuários da rede interna acessarem utilizando o mesmo IP?”
Porém eu habilitei o nat reflection e não funciona….. fiz várias tentativas ….. pode me ajudar …. estou na 2.3.2-RELEASE-p1 (amd64)….
Habilite o NAT Reflection e selecione a opção Firewall + Proxy.
Sucesso !
Muito obrigado, me ajudou muito =D já tinha um tempo que estava quebrando a cabeça de como resolver!
De nada 🙂
obrigado pela explicação dada, espero que continues a expandir o seu potencial…
Boa tarde professor , estou pesquisando sobre servidores firewall para instalar em uma empresa em que presto serviços e nesse empresa existe um servidor Windows com acesso remoto a area de trabalho liberado na porta 3389 e queria usar um firewall para aumentar a proteção nessa porta, existe algum metodo no fpsense onde eu consiga isso?? tipo eu colocar apenas os micros que eu quero que acesse o servidor via RDP por MAC da placa da rede ou por nome de micro?
Obrigado
Abs
Olá, com o pfSense você consegue definir qual endereço IP terá acesso ao servidor RDP, o pfSense não suporta filtro por MAC.
Sucesso !
Bom dia mestre Ivanildo, Implementei um pfsense aqui na empresa que trabalho, temos um Ip Fixo pago da Vivo, eu configurei o modem Bridge e fiz que o Pfsense autenticasse via PPoe , só que quando eu faço isso , não consigo acesso nem no Pfsense e as máquinas não tem internet, o que devo fazer depois de configurar o Pfsense via PPoe??e depois disso preciso fazer uma VPN, com um parceiro nosso, tem como me ajudar??
Olá, é relatiamente simples, depois de configurar o PPOE, o pfSense cria a interface PPOE que será usada nas regras de firewall como saída, ele também adiciona o gateway da mesma como padrão, assim todo tráfego WAN vai para a operadora.
Se for VIvo fibra, dá uma olhada neste artigo, deve te ajudar: http://www.friendsti.com.br/tutorial-configurando-link-vivo-fibra-no-pfsense/
Sucesso !
Amigo muito bom sua publicação. Você saberia como fazer algo do tipo: tenho 5 endereço IPs público, tenho 5 redes privadas em meu serviço, queria que cada rede saísse pra Internet por um IP público distinto, exemplo, rede 192.168.0.1 sair pelo 200.x.x.1, rede 192.168.2.0 sair pelo 200.x.x.2
Precisa criar NAT outbound para cada rede interna, saindo por seu respectivo endereço IP publico, mas antes vai ter que criar uma VIP para cada endereço público, pois o pfSense precisa saber que estes endereços estão ativos para serem usados. Tem uma vídeo aula ensinando isso no meu curso de pfSense no site jlcp.com.br.
Acredito que este artigo lhe dê uma luz: https://blog.monstermuffin.org/pfsense-guide-nat-firewall-rules-networking-101/
Sucesso !
Bom dia Ivanildo, tudo bem?
Acho que mais ou menos sua explicação também serve para minha dúvida mas, não estou conseguindo fazer a configuração corretamente. Na nossa estrutura, o pessoal da saúde utiliza um software que todo mês faz um relatório de base de dados e o software usa um endereço de FTP (ftp.datasus.gov.br), e na hora de enviar ou atualizar as bases ele usa esse caminho também. Já isolei a rede para ver se nosso ip fixo não estava bloqueado no datasus, tirando o pfsense do caminho, e ok, o software funciona sem problemas. Quando inserido o pfsense na rede novamente, o software reclama que não consegue fazer a transação por não achar o ftp do datasus. Nem ping retorna.
Então acredito que tenho que fazer mais ou menos alguma regra que “libere” minha lan para conectar junto a eles e o software funcionar novamente mas, não to conseguindo achar a forma correta de implementar isso no pfsense.
o ip deles é: 189.28.143.164.
Vc teria alguma sugestão? Eu já li alguns foruns e tentei implementar algo para conseguir chegar até no endereço deles mas não consigo. E parece que seu caminho é o mais perto do que procuro.
Obrigado pela atenção e ajuda
Douglas
Perdão, demorei a chegar heim ?
Resolveu ?
A forma mais rápida de falar comigo é por e-mail, devido a uma série de atividades, acabo vendo pouco as mensagens aqui do blog.
Ola, Ivanildo
Gostaria de saber na configuracao do nat, posso utilizar o ip publico do propro pfsense na criacao do ip virutal?
como seria isso?
Olá, desculpe a demora, estava meio afastado do site.
Na criação do NAT, coloca o Wan Address como origem, este é o IP do pfSense.
Sucesso !
Olá Professor Ivanildo Galvão, bom dia! Tenho uma dúvida e venho lhe pedir uma ajuda em relação a o Pfsense.
Eu preciso passar IP público para os meus clientes como provedor e gostaria de saber se o Pfsense atenderia essa função em DataCenter.
Desde já agradeço o feedback.
Atenciosamente!
Primeiro de tudo, perdão pela demora, estava meio afastado do site.
Atende, vários provedores de pequeno e médio porte usam o pfSense.
Exemplo: https://docs.netgate.com/pfsense/en/latest/book/services/pppoe-server.html
Boa tarde.
Sim, ele tem um módulo de DNS Server que você pode usar tranquilamente, algumas empresas e até provedores o usam.
Vá nos pacotes e instale o BIND.
Sucesso !