Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Comprender el orden en el que se produce fi rewalling y NAT es importante cuando las reglas
de con fi guración de NAT y cortafuego. El orden lógico básico se ilustra en la
de problemas se describe más adelante en este libro en La captura de paquetes . Cada capa no
siempre es golpeado en configuraciones típicas fi, pero el uso de reglas
flotando o NAT saliente manual u otras con fi guraciones más complicados puede golpear cada
capa en ambas direcciones. El diagrama sólo cubre escenarios básicos
Traf fi c de LAN a WAN se procesa como se describe en la siguiente lista más detallada. Si un
tipo de normas no existen o no son iguales, que se pasan por
alto.
• Puerto hacia delante o 1: 1 NAT en la interfaz de LAN (por ejemplo proxy o DNS redirige)
• Las reglas de firewall para la interfaz LAN: reglas flotantes entrante on LAN, entonces las
reglas para los grupos de interfaces, incluyendo la interfaz LAN, entonces las reglas
pestaña LAN.
En este caso, no se aplican las reglas de puerto remite pestaña fi cortafuego WAN y WAN. Para
tráfico c
• Las reglas de firewall para la interfaz WAN: reglas flotantes entrante en WAN, entonces las
reglas para los grupos de interfaz incluyendo la interfaz WAN, entonces las reglas de
la ficha WAN.
tcpdump es siempre la primera y la última cosa para ver trá fi co, dependiendo de la dirección.
En primer lugar, en la interfaz entrante antes de cualquier procesamiento NAT
y cortafuegos fi, y por último en la interfaz de salida. Se muestra lo que es en el cable. (Ver La
captura de paquetes )
Ver también:
Ver Regla de procesamiento de pedidos para obtener más información sobre el orden de
procesamiento de reglas fi cortafuegos.
220 Capítulo Traducción de Direcciones de Red 13.
El diagrama anterior y las listas solamente ilustran una implementación básica LAN y WAN dos
interfaz. Cuando se trabaja con interfaces adicionales, se
aplican las mismas reglas. Trá fi co entre dos interfaces internas se comporta igual que LAN a
WAN trá fi co, aunque las reglas NAT defecto no se traducirán
trá fi co entre las interfaces internas por lo que la capa de NAT no hace nada en esos casos. Si
existen reglas de salida NAT ese partido trá fi co entre las
En el camino hacia una interfaz, NAT se aplica antes que las reglas fi cortafuego, así que si el
destino se traduce en el camino en adelante (por ejemplo, portuarias o 1: 1
NAT en la WAN), entonces las reglas cortafuego debe coincidir con el destino traducida. En el
caso típico de un puerto de reenvío a la WAN, esto significa que la regla debe
coincidir con un destino de la dirección IP privada de destino en la LAN. Por ejemplo, con un
puerto hacia delante para el puerto TCP 80 en WAN con una regla de
cortafuego añadido de forma automática, la figura Regla de firewall para Port Forward al
anfitrión LAN Muestra la regla cortafuego resultante sobre la WAN. La dirección IP
interna en el puerto hacia adelante es 10.3.0.15. Si el uso de puerto remite o 1: 1 NAT, reglas
de cortafuego en todas las interfaces WAN deben utilizar la dirección IP interna
como destino.
A la salida de una interfaz, de salida NAT se aplica antes que las reglas fi cortafuego, por lo que
cualquier regla flotantes juego de salida en una interfaz debe coincidir
con la fuente después de que ha sido traducido por NAT saliente o 1: 1 NAT.
NAT La reflexión
un buen soporte para NAT reflexión, aunque algunos entornos requieren una infraestructura
DNS dividido para dar cabida a esta funcionalidad. Dividir el DNS está
NAT Re modo de reflexión para el puerto reenvía Hay tres opciones disponibles para el modo
de reflexión NAT Re
Inhabilitar no se realizará NAT La reflexión, pero puede ser activada en función de cada regla.
NAT + Proxy Permite NAT La reflexión usando un programa de ayuda para enviar paquetes a la
meta
del puerto hacia delante. Esto es útil en configuraciones donde la interfaz y / o la dirección IP
de la pasarela se utiliza para
tiempo las normas se cargan. Re no se crean reglas fl exión para su uso con el proxy para los
rangos de más de 500
puertos y no serán utilizados por más de 1000 puertos en total entre todos los desvíos de
puerto. Este modo no funciona
con UDP, sólo que con TCP. Debido a que este es un proxy, la dirección de origen del trá fi co,
como se ve por el servidor,
pura NAT Permite NAT La reflexión usando reglas sólo NAT en pf dirigir paquetes a la
objetivo del puerto hacia delante. Tiene mejor escalabilidad, pero debe ser posible determinar
con precisión la dirección de la
límites inherentes al número de puertos que no sean los límites de los protocolos. Todos los
protocolos disponibles para los
delanteros cuentan con el apoyo de puerto. Si los servidores están en la misma subred que los
clientes, la Habilitar NAT
saliente automático para la reflexión opción enmascarar el origen del trá fi co por lo que fluye
correctamente a través del
cortafuego.
Reflexión Tiempo de espera Esta opción sólo es relevante para NAT + Proxy de modo, y
controla el tiempo que la NAT
daemon proxy transcurrir antes de cerrar una conexión. Especificar el valor en cuestión de
segundos.
Habilitar NAT La reflexión de 1: 1 NAT Esta opción permite a los clientes en las redes internas
para alcanzar localmente
NAT La reflexión de 1: 1 NAT y Habilitar NAT saliente automático para la reflexión. Esta última
opción sólo es necesario si los clientes y
Habilitar NAT saliente automático para la reflexión Cuando está activada, esta opción activa
NAT adicional
reglas para el 1: 1 NAT reflexión y puro fl exión NATmode NAT Re para los delanteros del
puerto. Estas reglas adicionales enmascaran la dirección
de origen del cliente asegurarse de respuesta de trá fi co fluye de vuelta a través del
cortafuego. Sin esto, las conexiones entre el cliente y el
• Hacer clic Salvar para activar las nuevas opciones de NAT reflexión
NAT reflexión es un truco, ya que los bucles de trá fi co a través del cortafuego cuando no es
necesario. Debido a las limitadas opciones PF prevé la
adaptación de estos escenarios, hay algunas limitaciones en el pfSense NAT + Proxy reflexión
aplicación. Intervalos de puertos de más de 500 puertos
NAT no tienen reflejo activado en modo NAT + proxy, y que el modo está también limitada a
trabajar sólo con TCP. Los otros modos requieren NAT
adicional a suceder si los clientes y los servidores están conectados a la misma interfaz del
cortafuego. Este NAT adicional oculta la dirección de origen
del cliente, haciendo que el trá fi co parece originarse en el cortafuego en su lugar, por lo que
la conexión se puede establecer correctamente.
Dividir el DNS es la mejor manera de acomodar grandes rangos de puertos y 1: 1 NAT. El
mantenimiento de una infraestructura de DNS dividido es requerido por muchos fi
DNS dividido
Una alternativa preferible a NAT reflexión está desplegando una infraestructura DNS dividida.
Dividir el DNS se refiere a un DNS con fi guración donde, por un nombre
de host dado, DNS de Internet público resuelve a la dirección IP pública, y DNS en la red
interna se resuelve a la dirección IP interna y privada. Los medios para
es necesario ya que los nombres de host a resolver las direcciones IP privadas dentro de la red
y los clientes pueden llegar a los servidores directamente. Dividir el
DNS permite a los servidores de ver la verdadera dirección IP del cliente, y las conexiones
entre servidores y clientes en la misma subred irá directamente, en lugar
El único caso que no funciona correctamente con la división de DNS es cuando los números de
los puertos externos e internos son diferentes. Con la división de DNS, el número de
Si pfSense está actuando como el servidor DNS para los hosts internos, a continuación, el
anfitrión de las anulaciones en el Resolver DNS o promotor de DNS puede proporcionar la
funcionalidad
• Hacer clic lo de abajo anulaciones de acogida para llegar a la página de opciones del host
Override
• Con fi gura la anulación de acogida, según sea necesario, utilizando la dirección IP interna del
servidor. Ver anulaciones de acogida . Figura
www.example.com.
El DNS Forwarder funciona de forma idéntica en este sentido. Si el Forwarder DNS está
activado en lugar de la resolución DNS, agregue las anulaciones de allí.
Se requiere un reemplazo para cada nombre de host en uso detrás del cortafuego.
Cuando se utiliza un servidor DNS independiente en una red interna, tales como Microsoft
Active Directory, las zonas deben ser creados por el administrador del
servidor DNS para todos los dominios alojados dentro de la red, junto con todos los demás
registros de los
En entornos que ejecutan el servidor DNS BIND en el DNS público está alojado en el mismo
servidor que el DNS privada, vistas de BIND característica se utiliza para
resolver DNS diferente para hosts internos que las externas. Otros servidores DNS pueden
apoyar una funcionalidad similar. Comprobar su documentación para
obtener información.
NAT salientes
De salida NAT, también conocido como Fuente NAT, pfSense controla cómo se traducirá la
dirección de origen y los puertos de trá fi co dejando una interfaz.
Para con fi gura de salida NAT, vaya a Firewall> NAT, sobre el saliente lengüeta. Hay cuatro
posibles modos para la salida de NAT:
Automático de salida NAT La opción por defecto, que realiza automáticamente NAT de inter
interna
caras, tales como LAN, a las interfaces externas, tales como WAN.
Híbrido de salida NAT Utiliza las reglas manuales mientras que también el uso de reglas
automáticas para tráfico c No corresponde
por reglas introducidas manualmente. Este modo es el más flexible y fácil de usar para los
administradores que necesitan un poco de control
Manual de salida NAT Logros las reglas introducidas manualmente, y nada más. Ofrece la
mayor parte
control, pero puede ser difícil de manejar y los cambios realizados en las interfaces internas o
WAN deben tenerse en cuenta en las
reglas de la mano. Si la lista está vacía cuando se cambia de automático a manual, la lista se
rellena con normas equivalentes al
conjunto generado automáticamente.
Desactivar la salida NAT Desactiva todos los NAT saliente. Es útil si el cortafuego contiene sólo
ad- enrutable
vestidos (por ejemplo, direcciones IP públicas) en todas las redes LAN y WAN. Al cambiar el
Modo Valor,
En redes con una única dirección IP pública por la WAN, por lo general hay ninguna razón para
activar NAT saliente manual. Si algún control manual es necesario, el
modo híbrido es la mejor opción. En los entornos con múltiples direcciones IP públicas y
requisitos complejos NAT, de salida manual de NAT ofrece más fi el control
de grano fino sobre todos los aspectos de la traducción. Para entornos de alta disponibilidad
utilizando con la carpa, es importante NAT trá fi co de salida a una
dirección CARP VIP, como se discutió en Alta disponibilidad . Esto se puede lograr en cualquier
híbrido o el modo manual. Al igual que con otras reglas de pfSense,
reglas NAT salientes son considerados desde la parte superior de la lista de abajo, y se usa el
primer partido de fi. Incluso si las reglas están presentes en la pantalla
Nota: NAT saliente sólo controla lo que ocurre con trá fi co ya que deja una interfaz. Lo hace
no controlar la interfaz a través del cual tráfico c saldrá del cortafuego. Eso está en
Cuando se establece en el valor por defecto Automático de salida NAT modo, pfSense
mantiene un conjunto de reglas de NAT para traducir tráfico c dejar cualquier
red interna a la dirección IP de la interfaz WAN que las fi c hojas TRAF. redes de rutas estáticas
y las redes VPN de acceso remoto también se incluyen en las reglas
NAT automáticas. Cuando saliente NAT es con fi gurado para Automático o Híbrido modos, las
reglas automáticas se presentan en la sección inferior de la pantalla
Si la lista de reglas de salida NAT está vacía, el cambio a Manual de salida NAT y el ahorro va a
generar un conjunto completo de normas equivalentes a las reglas
automáticas.
puerto estático
Por defecto, pfSense reescribe el puerto de origen en todas las conexiones salientes, excepto
para el puerto UDP 500 (IKE para VPN trá fi co). Algunos sistemas
huella digital alberga detrás del cortafuego de su salida trá fi co. Reescribir el puerto de origen
elimina estos potenciales (aunque improbable) vulnerabilidades de
puerto de origen aleatorización rompe algunas aplicaciones raras. El valor por defecto de
salida automática NAT conjunto de reglas desactiva el puerto
aleatorización fuente de UDP 500, ya que casi siempre se rompe por reescribir el puerto de
origen. saliente
reglas NAT que preservan el puerto fuente original se denominan puerto estático reglas y
tienen en el estado en el Estático
Puerto columna. Todos los demás trá fi co tiene el puerto de origen reescrito por defecto.
Otros protocolos, como los utilizados por las consolas de juegos, pueden no funcionar
correctamente cuando se reescribe el puerto de origen. Para desactivar esta funcionalidad,
utilice el puerto
estático opción. Para añadir una regla para un dispositivo que requiere puertos de origen
estáticas:
• Hacer clic para añadir una nueva regla de NAT a la parte superior de la lista
• Con fi gura la regla para que coincida con el trá fi co que requiere puerto estático, como una
dirección de origen de un PBX o una consola de juegos (Ver Trabajar
Después de hacer ese cambio, se conservará el puerto de origen en el tráfico saliente fi c juego
la regla. La mejor práctica es utilizar reglas estrictas cuando se utiliza el puerto
estático para evitar cualquier posible conflicto si dos anfitriones locales utilizan el mismo
puerto de origen para hablar con el mismo servidor remoto y el puerto utilizando la
Si se utilizan direcciones IP públicas en las interfaces locales, y por lo tanto no se requiere NAT
para pasar trá fi co a través del cortafuego, desactivar NAT para enrutar
• Si NAT no es necesario para cualquier interfaz, establecer el modo NAT saliente a Inhabilitar
• El uso de híbridos de salida NAT, con un conjunto de reglas No hacer NAT puede desactivar
NAT para hacer coincidir tráfico c
• Utilizar el manual de salida NAT, eliminar (o no crean) cualesquiera reglas NAT que coinciden
con las subredes que puedan establecerse rutas en cualquiera de los casos anteriores,
reglas NAT salientes son muy flexibles y son capaces de traducir trá fi co de muchas maneras.
Las reglas NAT se muestran en una sola página y la Interfaz columna es una fuente de
confusión para algunos; Como tráfico c deja una interfaz, sólo las reglas
Hacer clic desde la página de salida NAT para añadir una regla a la parte superior de la lista.
Hacer clic añadir una regla a la parte inferior.
Coloque normas especí fi cas en la parte superior, y las reglas más generales en la parte
inferior. Las reglas son procesadas por el cortafuego a partir de la parte superior de la lista y
trabajando
hacia abajo, y la primera regla fi para que coincida se utiliza. Las reglas pueden ser
reordenados para que coincida con la forma deseada.
No hacer NAT Al activar esta opción hace que los paquetes que coincidan con la regla no NAT
tiene que aplicar como
salir. Esto es necesario si el trá fi co de otro modo que coincida con una regla de NAT, pero no
debe tener NAT AP- ejercía. Un uso común para esto es
agregar una excepción de la regla de manera que las direcciones IP fi cortafuego no reciben
NAT aplicados, especialmente en el caso de la carpa, donde
tales NAT romper la comunicación por Internet desde un nodo secundario mientras está en el
modo de copia de seguridad.
Interfaz La interfaz donde se aplicará esta regla cuando NAT trá fi co se va a través de esta
interfaz. Típicamente
este Iswan o un OPTWAN, pero en algunos casos especiales que podrían ser LAN u otra
interfaz interna.
Protocolo En la mayoría de los casos, de salida NAT se aplicará a alguna protocolo, pero a
veces es necesario
restringir el protocolo sobre el cual el NAT actuará. Por ejemplo, sólo para realizar puerto
estático NAT para UDP tráfico c de un PBX.
Fuente La Fuente es la red local que se habrá traducido su dirección ya que deja el
seleccionado
Interfaz. Esto es típicamente una subred LAN, DMZ, o VPN. El puerto de origen casi siempre se
deja en blanco para que coincida con todos los puertos.
Nota: Evitar el uso de una dirección de origen de alguna como que también coincidirá con trá fi
co de la fi cortafuegos en sí. Esto causará problemas
Destino En la mayoría de los casos, el Destino permanece establecido a alguna de manera que
tra fi co ir a ninguna parte de
esta Interfaz serán traducidos, pero el destino puede ser restringido, según sea necesario. Por
ejemplo, para traducir de una manera determinada
cuando se va a un destino específico, por ejemplo, sólo haciendo puerto estático NAT para
direcciones SIP tronco. Este campo es compatible con el
Traducción los Dirección campo interior de la Traducción sección controla lo que ocurre con la
fuente
dirección del tráfico coincidiendo esta regla c. Por lo general, esto se establece en interfaz
Dirección por lo que el trá fi co se traduce a la dirección
IP Interfaz, por ejemplo, la dirección IP WAN. los Dirección desplegable también contiene
todas las direcciones IP de fi ne virtuales, alias de host, y otra
Nota: Un alias que contiene subredes no se puede utilizar para la traducción. Sólo el anfitrión
de alias o una sola subred introducida manualmente puede
ser utilizado.
El uso de un alias de host o subred introducida manualmente, una regla de NAT saliente puede
traducir a un grupo de direcciones. Esto puede ayudar
en grandes implementaciones NAT o en áreas donde se requiere puerto estático para varios
clientes. Cuando se traduce a un alias de host o subred,
una Opciones de la piscina desplegable está disponible con varias opciones. Solamente round
Robin tipos trabajan con los alias de host. Cualquier tipo
Defecto ¿No definen ningún algoritmo específico para la selección de una dirección de la
traducción
piscina.
giro.
Round Robin con pegajoso Dirección Funciona igual que round Robin pero mantiene la
misma dirección de traducción de una dirección de origen determinado, siempre y cuando los
estados de la fuente de acogida existen.
Aleatorio Selecciona una dirección de traducción para el uso de la subred de forma aleatoria.
Al azar con pegajoso Dirección Selecciona una dirección al azar, pero mantiene la misma
que la dirección traducida es siempre el mismo para una dirección IP determinada fuente.
máscara de bits Se aplica la máscara de subred y mantiene la última porción idéntica. Por
ejemplo si el
de 192.2.0.50. Esto funciona de manera similar a 1: 1 NAT, pero sólo en la dirección de salida.
Puerto Especi fi ca un específico fuente puerto para la traducción. Esto casi siempre se deja en
blanco, pero podría ser necesario
puerto estático Hace que el puerto de la fuente original del trá fi co cliente que se mantiene
después de la dirección IP de origen
ha sido traducido. Algunos protocolos requieren esto, como IPsec sin NAT-T, y algunos
protocolos se comportan mejor con esto,
como SIP y RTP. Al activar esta opción desactiva la Puerto cuadro de entrada.
Sin sincronización XML-RPC Esta opción sólo es relevante si una con fi guración HA Cluster está
en uso, y debe
regla de ser sincronizado con los otros miembros de un clúster (ver Alta disponibilidad ).
Normalmente todas las reglas deben
sincronizar, sin embargo. Esta opción sólo es eficaz en nodos maestros, lo hace no prevenir
una regla que se sobrescriba en los
nodos esclavos.
Descripción Una referencia de texto opcional para explicar el propósito de esta regla. Estas
reglas pueden
Como se ha mencionado en la figura Sellos de reglas de cortafuegos Tiempo para las reglas de
cortafuego, se añade una marca de tiempo a un saliente de entrada NAT que
indica cuándo se creó o modificados por última vez. Esta marca de tiempo muestra el usuario
que creó la regla, y la última persona que editar la regla. Cuando se cambia de
modo automático de salida NAT para el modo NAT de salida manual, las reglas creadas se
marcan como ser creado por ese proceso.
La mejor fi guración NAT con un despliegue determinado depende principalmente del número
de direcciones IP públicas disponibles y el número de servicios
Cuando sólo una única IP pública por la WAN está disponible, las opciones de NAT son
limitadas. 1: 1 reglas NAT se puede utilizar con direcciones IP WAN, pero que pueden tener
Cuando varias direcciones IP públicas están disponibles por la WAN, numerosas opciones están
disponibles para la entrada y salida de NAT con fi guración. Puerto
hacia delante, 1: 1 NAT, y el híbrido o Manual de salida NAT puede todo ser deseable,
dependiendo de las necesidades del sitio.
debido a las limitaciones de pf (PPTP ). Esta sección cubre una muestra de protocolos que
tienen di fi cultades con NAT en pfSense, y cómo evitar estos
FTP
FTP plantea problemas con ambos rewalls NAT y fi Debido al diseño del protocolo. FTP fue
diseñado inicialmente en la década de 1970, y la
corriente estándar de fi nir las especificaciones del protocolo fue escrito en 1985. Desde FTP
fue creado más de una década antes de la NAT, y
mucho antes de rewalls fi eran comunes, actúa de maneras que son muy antipáticos hacia NAT
y rewalls fi.