{"id":560,"date":"2019-08-22T07:23:24","date_gmt":"2019-08-22T07:23:24","guid":{"rendered":"http:\/\/www.tinone71.com\/?p=560"},"modified":"2020-02-06T20:52:28","modified_gmt":"2020-02-06T19:52:28","slug":"come-utilizzare-ip-pubblici-aggiuntivi-tratto-da-pfsenseitaly-com","status":"publish","type":"post","link":"https:\/\/www.tinone71.com\/wp\/?p=560","title":{"rendered":"Come utilizzare IP pubblici aggiuntivi (tratto da Pfsenseitaly.com)"},"content":{"rendered":"
<\/div>\n

Nonostante gli indirizzi IPv4 sono divenuti una risorsa preziosa, spesso capita che insieme alla connettivit\u00e0 business gli operatori forniscano un pool di indirizzi IP pubblici statici. Per molti questi possono essere molto utili per offrire tutta una serie di servizi a valore aggiunto. pfSense offre diverse modalit\u00e0 per poter sfruttare pi\u00f9 IP pubblici. In quest’articolo vedremo come configurare pfSense per poter sfruttare in modo semplice ed intuitivo pi\u00f9 IP pubblici.
<\/p>\n\n\n\n

La subnet<\/h3>\n\n\n\n

Tipicamente i service provider offrono un pool di 8 IP pubblici il che significa che assegnano una classe \/29 (Subnet Mask 255.255.255.248) . Per il nostro esempio utilizzeremo la classe 10.0.0.64\/29 che non \u00e8 una classe pubblica ma per non utilizzare nell’esempio IP assegnati ad altri pu\u00f2 andare bene. La nostra classe \u00e8 costituita dai seguenti IP:10.0.0.64 Subnet ID10.0.0.65 – 10.0.0.70 Indrizzi IP utilizzabili10.0.0.71 Indirizzo di broadcastLa prima cosa importante da notare \u00e8 che gli IP utilizzabili sono sempre n – 2<\/em> poich\u00e8 l’indirizzo IP con valore pi\u00f9 basso identifica la rete mentre quello con IP con valore pi\u00f9 alto identifica l’indirizzo di broadcast e non sono disponibili per essere assegnati a degli host.
Tornando al nostro esempio supporremo che l’indirizzo IP 10.0.0.65 sia stato assegnato al router e 10.0.0.66 all’interfaccia WAN di pfSense.Nel nostro esempio supporremo di voler impiegare l’indirizzo 10.0.0.67 per pubblicare un sito web ed il 10.0.0.68 per pubblicare un server di posta.<\/p>\n\n\n\n

L’interfaccia WAN<\/h3>\n\n\n\n

Accediamo alla schermata Interfaces > WAN<\/strong> ed inseriamo le seguenti informazioni:IP address: 10.0.0.66\/29<\/strong>Gateway: clicchiamo su add e creiamo il gateway con IP 10.0.0.65<\/strong>Block private networks: ON<\/strong><\/p>\n\n\n\n

Gli IP virtuali<\/h3>\n\n\n\n

Ora accediamo al men\u00f9 Firewall > Virtual IPs<\/strong> ed aggiungiamo un nuovo IP virtuale con le seguenti caratteristiche:Type: IP Alias<\/strong>Interface: WAN<\/strong>IP Address(es): 10.0.0.67\/29<\/strong>Description: VIP WEB<\/strong>Clicchiamo su Save<\/strong>.
Ora creiamo il secondo IP pubblico che assegneremo al server di posta.Type: IP Alias<\/strong>Interface: WAN<\/strong>IP Address(es): 10.0.0.68\/29<\/strong>Description: VIP MAIL<\/strong>Clicchiamo su Save<\/strong> e poi su Apply Changes<\/strong>.
Aquesto punto il nostro pfSense ha tre indirizzi IP assegnati all’interfaccia WAN: 10.0.0.66, 10.0.0.67 e 10.0.0.68. Come nel caso di un singolo IP pubblico, dobbiamo configurare il port forwarding per far si che il traffico diretto ad un IP + porta venga rigirato all’host interno su cui \u00e8 attivo il servizio.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Il NAT 1:1<\/h3>\n\n\n\n

Per pubblicare una porta  normalmente siamo abituati ad utilizzare il portforwarding, in questo caso impiegheremo il NAT 1:1 che permette di mappare un IP pubblico con un IP privato.
Tutto il traffico in entrata sull’ IP pubblico verr\u00e0 translato sull’IP privato e poi valutato dalle regole di firewall impostate sull’interfaccia WAN. Il traffico in uscita viene rimappato con l’IP pubblico sovrascrivendo le regole di NAT Outbound.<\/p>\n\n\n\n

Accediamo a Firewall > NAT > 1:1<\/strong> e configuriamo il NAT 1:1 per il web server
Interface: WAN<\/strong>
External subnet IP: 10.0.0.67<\/strong>
Internal IP: 192.168.1.100<\/strong>
Description: NAT to WEB SERVER<\/strong>
Clicchiamo su Save<\/strong><\/p>\n\n\n\n

Ripetiamo la stessa operazione per l’IP 10.0.0.68<\/p>\n\n\n\n

Accediamo a Firewall > NAT > 1:1<\/strong> e configuriamo il NAT 1:1 per il web server
Interface: WAN<\/strong>
External subnet IP: 10.0.0.68<\/strong>
Internal IP: 192.168.1.101<\/strong>
Description: NAT to MAIL SERVER<\/strong>
Clicchiamo su Save<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"\/<\/a><\/figure>\n\n\n\n

Le Roules<\/h3>\n\n\n\n

Ora creiamo le regole di firewall per dare l’accesso ai servizzi da internet.
Clicchiamo su Firewall > Rules<\/strong>Selezioniamo l’interfaccia WAN<\/strong>Aggiungiamo una nuova regolaAction: Pass<\/strong>
Interface: WAN<\/strong>
Protocol: TCP<\/strong>Source: Any<\/strong>
Destination: 192.168.1.100<\/strong>Destination port range: HTTP<\/strong>Description: Accesso al server WEB <\/strong>Clicchiamo su Save<\/strong>
Aggiungiamo una nuova regolaAction: Pass<\/strong>
Interface: WAN<\/strong>
Protocol: TCP<\/strong>Source: Any<\/strong>
Destination: 192.168.1.101<\/strong>Destination port range: SMTP<\/strong>Description: Accesso al server MAIL<\/strong>Clicchiamo su Save<\/strong> e poi su Apply Changes. <\/strong>Ora il nostro sistema \u00e8 in grado di gestire pi\u00f9 IP pubblici.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Nonostante gli indirizzi IPv4 sono divenuti una risorsa preziosa, spesso capita che insieme alla connettivit\u00e0 business gli operatori<\/p>\n","protected":false},"author":1,"featured_media":639,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[11,27],"tags":[],"_links":{"self":[{"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/posts\/560"}],"collection":[{"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=560"}],"version-history":[{"count":1,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/posts\/560\/revisions"}],"predecessor-version":[{"id":561,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/posts\/560\/revisions\/561"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=\/wp\/v2\/media\/639"}],"wp:attachment":[{"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=560"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=560"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tinone71.com\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=560"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}