pfSense

Pasos previos

Primero de todo, creamos una maquina virtual con la ISO de pfSense. Enlace de descarga: https://www.pfsense.org/download/

Una vez tengamos la maquina virtual creada añadiremos dos adaptadores de red, que trabajaran de WAN y LAN. En nuestro caso la configuración va a ser la siguiente:

• WAN: 100.77.20.0/24 (Adaptador puente, para salir al exterior desde la red local)

• LAN: 10.20.30.0/24 (Red Nat, para el tráfico interno)

pfSense

Una vez entramos, lo primero que veremos será un menú con varias opciones de configuración, en nuestro caso, vamos a usar la opción 2 para configurar correctamente ambas redes.

Menú de configuración

WAN

Vamos a introducir el número, relacionado a la opción que queremos configurar.

Set IP address

Primero vamos a elegir la interfaz que queremos configurar y vamos a empezar a configurarlas, empezaremos por la WAN

En este caso, le diremos que no queremos que la IP se asigne con el DHCP, lo haremos manualmente.

Asignaremos la 100.77.20.51 y seguido le indicaremos 24 como mascara de red, para que sea tipo C.

Asignación de IP manual

Es una buena practica asignar la IP por DHCP

Ya que evitaremos que si esa IP es filtrada, alguien con mala intención pueda suplantar el servicio.

Por contra, tendremos que tener en cuenta que para acceder a los servicios del firewall, cada vez que lo iniciemos tendrá una IP distinta.

En este caso nos pregunta si queremos asignar un gateway a la interfaz. Pero como estamos usando el DHCP de la red local, no es necesario asignar ninguno.

Rechazamos la config de gateway

El paso siguiente es para configurar una IPv6, pero a nosotros no nos interesa.

Rechazamos la config de gateway

Esta configuración es para que nuestro pfSense, también sea el servidor DHCP de la red WAN, pero en este caso no nos interesa.

Pulsamos <ENTER> y la configuración de la interfaz estará finalizada.

Finalizamos

LAN

Vamos a introducir el número, relacionado a la opción que queremos configurar.

Set IP address

Vamos a seguir configurando la interfaz LAN

En este caso, le diremos que no queremos que la IP se asigne con el DHCP, lo haremos manualmente.

Asignaremos la 10.20.30.100 y seguido le indicaremos 24 como mascara de red, para que sea tipo C.

Asignación de IP manual

Este paso es para configurar un gateway a la interfaz LAN.

Aquí si que nos interesa, ya que al ser una red Nat no tiene gateway predefinido y lo asignaremos manualmente. Como de costumbre será 10.20.30.1 Y le confirmamos que queremos que este sea el default

Config gateway

El paso siguiente es para configurar una IPv6, pero a nosotros no nos interesa.

Rechazamos IPv6

A diferencia de la red WAN, aqui si quer nos interessa que el pfSense sea también el servidor DHCP.

Así que aceptaremos que lo sea y el único paso que nos pide es insertar el rango de IP's que va a asignar el DHCP. En este caso el rango sera 10.20.30.10 - 10.20.30.20

Y pulsamos <ENTER>

Asignamos rango

Una vez acabado, en el pfSense deberíamos ver la siguiente configuración en la pantalla inicial.

Redes configuradas

Maquina gráfica

En una maquina gráfica con un adaptador de red dentro de la red Nat configurada previamente para el pfSense (preferiblemente Linux).

Si todo ha ido bien, accederemos a la pagina de configuración de pfSense. Credenciales por defecto.

• Username: admin

• Password: pfSense

LogIn pfSense

Una vez dentro, usando el menú superior de navegación nos dirigiremos a la siguiente ruta.

System > Advanced > Networking

Una vez dentro, la única acción necesaria seria activar el KeaDHCP. Que como indica en la descripción Kea es la nueva versión de ISC.

Importante bajar al final de la pagina y guardar los cambios.

Activamos Kea

Una vez activado Kea, nos dirigiremos a la siguiente ruta.

Firewall > Rules > WAN

Una vez dentro, crearemos una nueva regla para el firewall.

Reglas WAN

En la primera sección Edit Firewall Rule, aplicamos los siguientes cambios:

• Action - Pass

• Address FAmily - IPv4

• Protocol TCP/UDP

Edit Firewall Rule

En la segunda sección llamada Source, le indicaremos Any.

Source

En la sección Destination, especificaremos la IP de la máquina que estamos usando, en nuestro caso se le ha asignado la 10.20.30.50/24.

Y en el reenvio de puertos indicaremos que entre y salga por el mismo el 80:HTTP

Asignamos protocolo HTTP

Aquí el único campo que debemos cambiar es la descripción, en nuestro caso simplemente la llamaremos NAT. Para acabar pulsaremos el botón <Save> que encontramos en la parte inferior de la pantalla.

Descripción

Una vez guardada la configuración, deberemos ver el panel de resumen de la siguiente manera.

Las otras dos reglas que se ven son reglas que están predefinidas, pero no están activadas, así que no influyen en ningún port forwarding.

Resumen de las reglas

Si ejecutamos ip a, para poder ver las interfaces de red, veremos que esta la IP correctamente asignada por el DHCP de pfSense.

Interfaces de red

Instalaremos un servidor nginx para hacer la prueba del port forwarding sudo apt install nginx. Una vez instalado, comprobaremos su funcionamiento con systemctl status nginx.

Nginx status

Nos dirigiremos a nuestro ordenador físico local, para probar que el port forwarding esta bien implementado y funcionando correctamente.

En el buscador, añadiremos la IP que tiene asignada pfSense en la red WAN. Y si todo ha salido correctamente, nos mostrara la pantalla de que si que esta encontrando el servidor nginx y la configuración habrá sido exitosa.

Nginx

Si al buscar el servidor Nginx no nos muestra la pantalla anterior, debes hacer lo siguiente:

1. Apagar la maquina gráfica y el pfSense.

2. Encender primero el pfSense y esperar que se inicie entero.

3. Iniciar la maquina gráfica que contiene el servidor Nginx.

4. Volver a hacer la búsqueda con la IP de pfSense.

Si nada de esto funciona, revisa la configuración y fíjate en que paso puedes haberte equivocado.