Маршрутизация в pfSense. Проброс порта
Сетевые специалисты делят маршрутизаторы на два больших класса - программные и аппаратные. Аппаратные маршрутизаторы представляют оборудование разрабатываемое на предприятиях как готовый продукт. Программные реализации представляют собой набор программ или готовые сборки операционных систем, которые можно установить практически на любой современный компьютер или серверную платформу. Иногда бывает необходимо предоставить доступ из Интернета к машинам находящимся в локальной сети. Рассмотрим настройки маршрутизации - проброса портов (Port Forwarding) с помощью pfSense.
pfSense - это дистрибутив ПО основанный на ОС FreeBSD и предназначенный для организации маршрутизатора либо межсетевого экрана, либо все сразу . Данная ОС может быть установлена практически на любой компьютер или сервер. Ключевая особенность pfSense - решение поставленных задач через web-интерфейс.
Настройка сети
Если настройка выполняется через VPS/VDS, то следует создать все требуемые серверы, один из которых будет под управлением pfSense. Добавить сетевые адаптеры и объединить в в одну виртуальную сеть.
Приступаем к настройке
В основном меню программы (горизонтальное черное) выбираем Interfaces → Assignments.
Веб-страница обновится, появится список всех сетевых интерфейсов. “Свободные” интерфейсы находятся в поле Available network ports. Все интерфейсы показаны с mac-адресами на них. Из выпадающего списка выбираем необходимый и нажимаем кнопку “Add”.
После завершения действия, система уведомит об успешном добавлении. Интерфейс получит название “LAN”. Сохраняем настройки кликом по кнопке “Save”.
Настроим сетевой адаптер. Для этого в главном меню открываем Interfaces → LAN.
Установкой галки в поле Enable задействуем интерфейс. Установим настройку IPv4 как статичный IP (Static IPv4).
В секции настроек конфигурации “Static IPv4 Configuration” указываем IP-адрес для этого интерфейса, в нашем случае 10.0.0.254, возможно у вас будет другой. В самом низу страница нажимаем кнопку “Save” для сохранения внесенных изменений.
Система уведомит о внесенных изменениях. Применим их кликом по кнопке “Apply changes”.
Настроим сетевые интерфейсы клиентов
При настройке сетевых интерфейсов клиентов важно помнить, что адрес сервера pfSense должен быть указан в качестве шлюза, в нашем случае 10.0.0.254.
Настройка в Ubuntu
Редактируем файл /etc/network/interfaces:
auto ens31
iface ens31 inet static
address 10.0.0.2
netmask 255.255.255.0
dns-nameserver 8.8.8.8
gateway 10.0.0.254
Перезапускаем службу сети:
/etc/init.d/networking restart
Windows
Для настройки сетевого адаптера в среде Windows необходимо открыть Пуск → Панель управления → Сеть и интернет → Сетевые подключения либо
Пуск → Панель управления → Сеть и интернет → Центр управления сетями и общим доступом → Изменение параметров адаптера.
В открывшейся папке кликаем правой кнопкой мыши по значку сетевого адаптера, выбираем “Свойства”.
В открывшемся окне кликом мыши по названию (не по галке) выбираем “Протокол Интернета версии 4 (TCP/IPv4)”. Нажимаем кнопку “Свойства”.
В новом окне указываем:
- IP-адрес - 10.0.0.3;
- Маска подсети: 255.255.255.0;
- Шлюз - 10.0.0.254;
- Предпочитаемый DNS-сервер: 8.8.8.8.
Для сохранения нажимаем кнопку “OK”. В окне Свойств сетевого адаптера также нажимаем кнопку “OK”.
Важно! Еще раз обращаем внимание, что IP-адрес сервера pfSense должен быть указан в качестве основного шлюза и шлюза по умолчанию.
Настроим маршрутизацию
В главном меню веб-приложения выбираем Firewall → NAT. На вкладке “Port Forward “. Нажимаем кнопку Add.
На открывшейся странице редактирования правила перенаправления трафика создадим правило для RDP-интерфейса.
В поле Destination указываем Any.
Destination port range (from port) - выбираем порт назначения, в нашем случае MS RDP. Поле “to port” заполнится автоматически.
Redirect target IP - указываем IP-адрес сервера или компьютера под управлением ОС Windows.
Redirect target port - MS RDP.
При желании заполняем поле описания - “Description”.
Нажимаем кнопку “Save”. И не забываем нажать кнопку “Apply changes”.
Важно! В случае если порт RDP был изменен (по умолчанию 3389), имя порта выбираем “Other”, в поле Custom указываем текущее значение.
Созданное правило отображается как в примере ниже.
Аналогичным способом создаются правила, скажем, для SSH-доступа.
Проверка подключения
Для проверки работоспособности настроек требуется подключиться SSH-клиентом или приложением для доступа к удаленному рабочему столу на внешний IP-адрес сервера pfSense.
Также, проверку можно выполнить с помощью сниффера сетевых портов - nmap.