sudo: Jack of all trades, master of some

Nat 1:1 con pfSense

6 comentarios

Cada vez que tenía que explicar ciertos detalles de la configuración a ciertas personas que utilizan pfSense como yo, la gran mayoría coincidía en que tenía muchas reglas y NATs (incluídos port forwards y outbounds) a diferencia de ellos. Totalmente ciertas estas observaciones, llegaba hasta el punto en que el scroll era constante y se me hacía cada vez más engorrosa la administración.

A raíz de ciertos cambios necesarios en la infraestructura de la red que administro casi tuve que configurar de cero y gracias a esto y al NAT 1:1 la configuración actual nada tiene que ver con la anterior.

Al utilizar el NAT 1:1 prácticamente desaparecieron todos los port forwards y outbounds y las reglas necesarias fueron afinadas de manera que cuando regresen aquellos que notaron el volumen de la configuración anterior quedarán complacidos.

Qué es el NAT 1:1

El NAT uno a uno mapea una IP pública a una privada de modo que todo el tráfico originado de la IP privada hacia una red externa utiliza la IP pública definida en este tipo de NAT. Todo el tráfico iniciado en una red externa y destinado a una IP pública específica es traducido a la IP privada y posteriormente evaluado por las reglas en la interface de la WAN. Si el tráfico es permitido entonces se pasa al host interno en cuestión. Vale la pena mencionar que al utilizar NAT 1:1 prescindimos de cualquier port forward y outbounds.

Riesgos del NAT 1:1

Los riesgos del NAT 1:1 son prácticamente los mismos que el del port forward, siempre que se permita tráfico, existe un riesgo potencial. Sin embargo existe un riesgo añadido cuando se utiliza el NAT 1:1, los errores pueden tener más consecuencas directas. Con el port forward se limita el tráfico que será permitido en la regla del NAT así como la del firewall. Si por ejemplo se hace un port forward al puerto 80 con la regla asociada solamente el puerto 80 puede ser accedido en ese host interno. Si se utiliza el NAT 1:1 y se genera por ejemplo, una regla de permitir todo, todo será accesible desde redes externas. Sin embargo esto no debe ser una razón para dejar de utilizar este tipo de NAT, las malas configuraciones siempre son problemáticas, simplemente cuando se configura un firewall solo debe permitirse el tráfico estrictamente necesario.

Cómo se utiliza

Particularmente en mi red hago uso de una arquitectura de DMZ simple en la que las direcciones IP de la red WAN son virtuales. Por ejemplo si se quiere permitir el tráfico hacia el servidor de correo debemos tener en cuenta lo siguiente.

Interface: WAN
IP Interna: 192.168.1.2
IP Pública: 10.0.0.2

El tráfico viajaría así:

Red externa -> 10.0.0.2:25 -> 1:1 -> Reglas -> 192.168.1.2

Para configurar el NAT:

Firewall / NAT / Pestaña 1:1 y agregar una entrada con los siguientes datos:

Interface: WAN
External subnet IP: 10.0.0.2
Internal subnet: 192.168.1.2

Solo queda agregar la regla correspondiente y voilá.

Comentarios desactivados
  1. Leandro 4 años atrás

    Hola, en mi caso cuando usaba los port forwards creaba un alias con cada IP y para diferenciarlas ponía nombredeservicio_publica y nombredeservicio_privada.

    De la forma que se explica en esta entrada solo creo el alias con la IP del servicio lo cual se traduce en mucho menos alias.

  2. Rafael Castro 4 años atrás

    Question?

    1:1 va delante o después de NAT?

    1. @Rafael Castro

      Just 1:1. El 1:1 es un tipo especial de NAT.

  3. fdsa

  4. Hector Suarez Planas 4 años atrás

    Saludos, hermanos.

    Sudo, mi respeto y felicitaciones por tu blog. Me gusta el diseño. :-)

    Es cierto que el NAT tiene sus ventajas y desventajas. En mi caso, a no ser que sea “necesariamente necesario”, evito el usar esta tendencia, dado que prefiero mejor usar PAT, o sea, NAT basado en puertos.

    Aclaro que no soy un experto en pfSense, lo he visto por arribita, valoro sus ventajas por estar basado en una distro de la rama BSD y las características adicionales que trae (una de ellas la parte de los IDPS me gustó), pero me quedo con mis distros basadas en Debian, así no me salgo de esa línea.

    Yo uso una distro llamada VyOS (un fork de otra que se llamaba Vyatta) desde que salió la versión 1.0.2, que ya estaba un poquito pulida. Venía usando Vyatta desde junio de 2010 a sugerencia del Administrador del Nodo Infomed – Holguín (Alejandro), quien en medio de un Taller me habló de ella.

    Con VyOS puedo hacer una serie de cosas, y la parte del cortafuegos está bastante aceptable. No soy muy dado a usar los forwards directamente en el mismo, por eso uso PAT y controlo tanto el tráfico que sale de mis subredes hacia afuera y viceversa.

    En el post http://nihilanthlnxc.cubava.cu/2015/09/25/descripcion-de-la-implementacion-de-la-nueva-topologia-de-red-de-la-empresa-karas-parte-i/ (primera parte de tres) doy un ejemplo de configuración de un PC-Router basado en una topología específica. En él hago uso del NAT y los conjuntos de reglas del cortafuegos.

    Espero les sirva.

    :-)

  5. Tienes algún manual de pfSense que no tengo Internet