Port forwading sous Pfsense
I. Présentation
Nous allons dans ce tutoriel voir comment faire du Port Fowarding sous Pfsense. Le cas d'utilisation le plus courant du port Forwarding étant le fait de mettre un serveur web (ou autre) dans le coté LAN ou DMZ d'un routeur Pfsense. On souhaite alors que les flux venant du WAN sur le port 80 ou 443 par exemple soient redirigés vers notre serveur web en interne. Le port forwarding se distingue de la redirection 1 à 1 (ou 1" to 1") car cette dernière redirige tous les flux vers une IP donnée alors que le port forwading ne redirige que les flux venant ou allant vers un port donné.
Cette documentation est effectuée sur un Pfsense 2.1 sans configuration spécifique à son démarrage.
II. Procédure
Pour illustrer cette procédure, nous considérons les éléments suivants :
On a donc un LAN en 192.168.248.0/24 et un WAN en 192.168.1.0/24 avec notre Pfsense entre les deux réseaux. Notre serveur web se situe dans le LAN avec l'IP 192.168.248.128 et un NAT est mis par défaut sous Pfsense entre le LAN et le WAN pour permettre à notre serveur web d'aller sur le net. De plus, une route par défaut devra être ajoutée à notre serveur web.
Ce que nous allons faire et donc de rediriger tout ce qui vient du WAN sur le port 80 vers notre serveur web en interne. Les requêtes allant sur un autre port seront traitées autrement ou tout simplement bloquées en fonction de ce qui est déjà en place sur votre PfSense.
Note : Dans le cas d'un serveur web, veillez à ce que votre interface web ne soit pas joignable sur l'interface WAN port 80, ce qui est généralement déconseillé d'ailleurs. Si besoin, changez le port d'accès au WebUI (interface web de gestion Pfsense)
Donc on commence par se logguer sur l'interface web de gestion de Pfsense puis on va dans "Firewall" puis "NAT" :
On va ensuite cliquer sur le "+" présent à droite du tableau de l'onglet "Port Forward". On pourra alors créer notre règle de forwarding. Pour quelque chose d'assez simple comme nous voulons faire avec notre serveur web, il n'y a pas grand chose à changer.
Dans le cadre "Protocole" on va sélectionner "TCP" car l'HTTP est un protocole utilisant le protocole de transport TCP.
On va ensuite modifier le "Destination port range" on mettant le protocole HTTP, cela signifie que notre règle concerne tout ce qui vient vers le port 80 (HTTP). Pour un autre port, on peut sélectionner (other) puis mettre le numéro de port dans les cases de droite.
On va pouvoir par la suite mettre dans "Redirect target IP" l'IP de notre serveur web (ou autre) en interne, c'est vers cette IP que seront redirigées les requêtes. Enfin, on va mettre vers quel port seront redirigées nos requêtes, il arrive dans certaine configuration que l'on redirige les paquets arrivant sur un certain port vers un autre port en interne, les cadres modifiés ressembleront donc à cela :
On pourra également ajouter une description à notre règle pour expliquer brièvement à quoi elle sert. Pour finir, on va cliquer sur "Save" en bas de page puis sur "Apply change" sur la page suivante :
On visionnera par la même occasion notre règle finale qui devrait ressembler à cela. Suite à l'application de cette règle, on pourra tester notre redirection en allant sur le port 80 sur l'IP WAN de notre PfSense, qui devrait nous rediriger vers notre serveur web. Pour débugger, on pourra aller voir dans "Status" puis dans "System logs" puis dans l'onglet "Firewall", nous pourrons y avoir les redirections des paquets effectuées. On pourra également faire une analyse de port sur le coté WAN de notre Pfsense pour voir si le port est ouvert.
Explication toujours très clair
Voila comment faire si j’ai un autre réseau connecter derrière un autre routeur (R3) du coté lan sans pour autant faire du nat sur ce routeur.
Normalement je dois ajouter une route de retour pour LAN2(autre réseau derrière le routeur) sur le pfsense et autoriser le réseau LAN2 dans le firewall. Mais ensuite comment faire pour que le pfsense nat un autre reseau (LAN2) qui n’est pas directement connecté sur ses interfaces mais connecter derrière R3 et je rappelle sans faire de nat sur R3
Merci
comment fait on quant on a plusieurs serveurs qui doievent repondre a du snmp pour du monitoring ?
merci