Come utilizzare IP pubblici aggiuntivi (tratto da Pfsenseitaly.com)

Nonostante gli indirizzi IPv4 sono divenuti una risorsa preziosa, spesso capita che insieme alla connettività business gli operatori forniscano un pool di indirizzi IP pubblici statici. Per molti questi possono essere molto utili per offrire tutta una serie di servizi a valore aggiunto. pfSense offre diverse modalità per poter sfruttare più IP pubblici. In quest’articolo vedremo come configurare pfSense per poter sfruttare in modo semplice ed intuitivo più IP pubblici.

La subnet

Tipicamente i service provider offrono un pool di 8 IP pubblici il che significa che assegnano una classe /29 (Subnet Mask 255.255.255.248) . Per il nostro esempio utilizzeremo la classe 10.0.0.64/29 che non è una classe pubblica ma per non utilizzare nell’esempio IP assegnati ad altri può andare bene. La nostra classe è costituita dai seguenti IP:10.0.0.64 Subnet ID10.0.0.65 – 10.0.0.70 Indrizzi IP utilizzabili10.0.0.71 Indirizzo di broadcastLa prima cosa importante da notare è che gli IP utilizzabili sono sempre n – 2 poichè l’indirizzo IP con valore più basso identifica la rete mentre quello con IP con valore più alto identifica l’indirizzo di broadcast e non sono disponibili per essere assegnati a degli host.
Tornando al nostro esempio supporremo che l’indirizzo IP 10.0.0.65 sia stato assegnato al router e 10.0.0.66 all’interfaccia WAN di pfSense.Nel nostro esempio supporremo di voler impiegare l’indirizzo 10.0.0.67 per pubblicare un sito web ed il 10.0.0.68 per pubblicare un server di posta.

L’interfaccia WAN

Accediamo alla schermata Interfaces > WAN ed inseriamo le seguenti informazioni:IP address: 10.0.0.66/29Gateway: clicchiamo su add e creiamo il gateway con IP 10.0.0.65Block private networks: ON

Gli IP virtuali

Ora accediamo al menù Firewall > Virtual IPs ed aggiungiamo un nuovo IP virtuale con le seguenti caratteristiche:Type: IP AliasInterface: WANIP Address(es): 10.0.0.67/29Description: VIP WEBClicchiamo su Save.
Ora creiamo il secondo IP pubblico che assegneremo al server di posta.Type: IP AliasInterface: WANIP Address(es): 10.0.0.68/29Description: VIP MAILClicchiamo su Save e poi su Apply Changes.
Aquesto punto il nostro pfSense ha tre indirizzi IP assegnati all’interfaccia WAN: 10.0.0.66, 10.0.0.67 e 10.0.0.68. Come nel caso di un singolo IP pubblico, dobbiamo configurare il port forwarding per far si che il traffico diretto ad un IP + porta venga rigirato all’host interno su cui è attivo il servizio.

Il NAT 1:1

Per pubblicare una porta  normalmente siamo abituati ad utilizzare il portforwarding, in questo caso impiegheremo il NAT 1:1 che permette di mappare un IP pubblico con un IP privato.
Tutto il traffico in entrata sull’ IP pubblico verrà translato sull’IP privato e poi valutato dalle regole di firewall impostate sull’interfaccia WAN. Il traffico in uscita viene rimappato con l’IP pubblico sovrascrivendo le regole di NAT Outbound.

Accediamo a Firewall > NAT > 1:1 e configuriamo il NAT 1:1 per il web server
Interface: WAN
External subnet IP: 10.0.0.67
Internal IP: 192.168.1.100
Description: NAT to WEB SERVER
Clicchiamo su Save

Ripetiamo la stessa operazione per l’IP 10.0.0.68

Accediamo a Firewall > NAT > 1:1 e configuriamo il NAT 1:1 per il web server
Interface: WAN
External subnet IP: 10.0.0.68
Internal IP: 192.168.1.101
Description: NAT to MAIL SERVER
Clicchiamo su Save

Le Roules

Ora creiamo le regole di firewall per dare l’accesso ai servizzi da internet.
Clicchiamo su Firewall > RulesSelezioniamo l’interfaccia WANAggiungiamo una nuova regolaAction: Pass
Interface: WAN
Protocol: TCPSource: Any
Destination: 192.168.1.100Destination port range: HTTPDescription: Accesso al server WEB Clicchiamo su Save
Aggiungiamo una nuova regolaAction: Pass
Interface: WAN
Protocol: TCPSource: Any
Destination: 192.168.1.101Destination port range: SMTPDescription: Accesso al server MAILClicchiamo su Save e poi su Apply Changes. Ora il nostro sistema è in grado di gestire più IP pubblici.