Sam travaille comme analyste de réseau pour une société de trading algorithmique. Il a obtenu son baccalauréat en technologie de l’information de l’UMKC.
Dans cet article, je vais vous montrer comment configurer la redirection de port ou NAT sur votre routeur pfSense.
La redirection de port est utilisée lorsque vous devez autoriser des utilisateurs extérieurs à votre réseau à accéder à des services sur votre réseau interne. Par exemple, si vous avez un serveur Web en cours d’exécution sur une machine à l’intérieur de votre réseau, vous devrez transférer le port 80 (HTTP) vers l’ordinateur exécutant le serveur Web.
Si votre ordinateur possède une adresse IP publique, vous n’aurez pas à vous soucier de la redirection de port. Étant donné que la plupart des ordinateurs utilisent des adresses IP privées, ils nécessitent une redirection de port pour exposer les services internes à Internet.
Autres utilisations de la redirection de port
- Hébergement de serveurs de jeux publics
- FTP
- Bureau à distance (RDP)
- Bit Torrent
- SSH
Déterminer le numéro de port et l’adresse IP
Avant de pouvoir créer votre règle NAT, vous devez connaître deux choses, le numéro de port de l’application et l’adresse IP de l’ordinateur exécutant le service.
Si vous utilisez un service bien connu, trouver le numéro de port est assez facile à faire. Habituellement, vous pouvez rechercher sur Google et le trouver assez facilement. Une autre méthode consiste à exécuter un renifleur de paquets tel que Wireshark ou Tcpdump pour trouver vous-même le numéro de port.
Il existe plusieurs façons de trouver l’adresse IP d’une machine sur votre réseau. Si vous utilisez Windows, le moyen le plus simple de trouver l’adresse IP consiste à exécuter ipconfig à partir d’une invite de commande. Sur une machine Linux, vous pouvez exécuter ifconfig pour trouver l’adresse IP.
Lorsque vous configurez une règle NAT, il est préférable de vous assurer que l’ordinateur exécutant le service que vous souhaitez exposer se trouve sur une adresse IP statique. Si la machine est sur DHCP, elle pourrait obtenir une adresse IP différente et la règle NAT associée ne fonctionnerait plus. Si vous devez utiliser DHCP, vous pouvez configurer une réservation DHCP afin qu’il reste sur la même adresse IP.
Ports communs à rediriger
Connectez-vous à l’interface graphique Web
Pour configurer votre règle NAT, vous devrez vous connecter à l’interface Web de votre routeur pfSense. Pour cela, saisissez l’adresse IP de votre box pfSense dans la barre d’adresse de votre navigateur.
Le nom d’utilisateur par défaut est admin et le mot de passe par défaut est pfsense.
Créer la règle NAT
Pour configurer la redirection de port, cliquez sur NAT dans le menu Pare-feu de pfSense. En haut à droite, cliquez sur le symbole plus pour créer une nouvelle règle. Cela ouvrira l’éditeur de règles NAT.
Si vous devez modifier une règle existante, cliquez sur le « e » à côté de la règle que vous souhaitez modifier. Cliquer sur le « x » supprimera la règle.
Faites défiler pour continuer
Exemple de règle
Dans cet exemple, je vais vous montrer comment créer une règle pour rediriger le port 80 (HTTP) vers un ordinateur de votre réseau. Vous pouvez modifier le port et l’adresse IP en fonction de ce que vous devez accomplir.
- Dans la liste déroulante des protocoles, assurez-vous que TCP est sélectionné.
- Dans la plage de ports de destination, entrez 80 dans la case « de », la case « à » peut être laissée lorsque vous transférez un seul port
- Entrez l’adresse IP de l’ordinateur exécutant le serveur Web dans la zone IP cible de redirection.
- Entrez 80 dans le champ du port cible de redirection.
- Cliquez sur enregistrer, puis cliquez sur appliquer les modifications.
Voilà, maintenant lorsque le routeur pfSense reçoit un paquet destiné au port 80, il sera transmis à l’adresse IP interne du serveur Web.
Expliquer les options
L’exemple ci-dessus était très simple, mais il existe de nombreuses options différentes qui peuvent être utilisées pour créer des règles NAT plus compliquées. Cette section présente certains des paramètres courants que vous devrez peut-être utiliser.
Dans la plupart des situations, vous n’aurez pas à vous soucier de la plupart d’entre eux, alors ne les laissez pas vous intimider !
- Handicapé – Cocher cette case permet de désactiver la règle sans la supprimer.
- Pas de RDR (Pas de NAT) – Désactive la redirection en annulant la règle. Utile pour filtrer certaines plages de ports d’un proxy transparent.
- Interface – Détermine à quelle interface la règle s’applique. En règle générale, il s’agira d’un WAN, sauf si vous disposez de plusieurs connexions Internet ou si vous effectuez un équilibrage de charge.
- protocole – La règle NAT ne correspondra qu’aux paquets qui correspondent au protocole sélectionné. Généralement, le protocole sera TCP, UDP ou les deux. Si vous n’êtes pas sûr, sélectionnez TCP/UDP.
- la source – Cette option permet à votre règle NAT de faire correspondre les paquets provenant d’une adresse source ou d’un réseau spécifique. Si vous ne sélectionnez pas de source, la règle correspondra au trafic provenant de n’importe quelle adresse.
- Destination – Faites correspondre les paquets avec une adresse de destination spécifique. Dans la plupart des cas, ce sera défini sur WAN. Si vous avez un routeur multi-wan, vous pouvez sélectionner OPT1 ici.
- Plage de ports de destination – Cette option vous permet de rediriger une plage de ports vers la même adresse IP au lieu de créer des règles distinctes.
- Rediriger l’adresse IP cible – Il s’agit de l’adresse IP interne vers laquelle les ports doivent être redirigés.
- La description – Je vous recommande de saisir un commentaire sur l’utilisation de cette règle au cas où vous l’oublieriez plus tard. Par exemple, serveur FTP
- Pas de synchronisation XMLRPC – Lorsque cette case est cochée, la règle NAT ne sera pas synchronisée avec les autres membres CARP s’ils sont configurés. CARP signifie Common Address Redundancy Protocol.
- réflexion humide – L’activation de cette option vous permet d’accéder à un service en interne en utilisant l’adresse IP publique du système pfSense. Par défaut, vous ne pourrez accéder au service que sur l’adresse IP interne. La plupart des routeurs/pare-feu ne vous permettent pas de traverser les interfaces.
- Association de règles de filtrage – Cette option permet de lier une règle NAT à une règle de pare-feu. Je recommande de le laisser sur « créer une nouvelle règle de filtrage associée » ; cela vous évitera d’avoir à créer vous-même une règle de pare-feu.
Comment tester la redirection de port
Une fois que vous avez créé votre règle de transfert de port, vous devez la tester pour vous assurer qu’elle fonctionne correctement. Si vous avez accès à un ordinateur en dehors de votre réseau, vous pouvez simplement essayer d’accéder au service distant que vous avez configuré.
À moins d’avoir activé la réflexion NAT, vous ne pourrez pas tester le service depuis votre réseau. Par exemple, vous ne pouvez pas accéder
L’un des moyens les plus simples de tester votre règle NAT consiste à utiliser un vérificateur de port en ligne. Les utilitaires en ligne détecteront automatiquement votre adresse IP publique, vous n’aurez donc qu’à entrer le numéro de port que vous souhaitez tester.
Si le vérificateur de port peut se connecter au port, alors vous avez configuré avec succès NAT !
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.
© 2011 Sam Kear
shetu le 02 avril 2018 :
Salut.
Je connecte un serveur vpn ouvert (centos vps) via pfsense. Comment puis-je connecter le port 10000:20000 du réseau extérieur ? Je n’ai pas d’adresse IP publique, j’utilise donc vps pour le serveur openvpn.
Varma Adduri le 10 janvier 2017 :
Salut Sam,
Comment puis-je transférer un port vers un client OpenVPN. par ex.
Mon réseau local pfsense est 1.0/24
Mon client openvpn s’est connecté à pfsense et il est alloué avec l’ip 12.99
comment puis-je transférer 8080 du réseau public vers 12.99:8080
Veuillez suggérer.
Varma
Jean R le 17 décembre 2016 :
Salut,
Vous n’avez aucune idée du nombre d’heures pendant lesquelles j’ai lutté avec la redirection de port dans pfsense en tant que nouvel utilisateur !!
Je souhaite transmettre le port 82 au port 182 sur un serveur local.
La clé est « Filter Rule Association : créer une nouvelle règle de filtrage associée » ….
Ce à quoi je ne m’attendais pas, c’est que la règle créée se trouve sur le port 182 – cela signifie que le pare-feu est logiquement APRÈS le transfert de port – alors que, comme je l’aurais pensé (si une règle de pare-feu supplémentaire était nécessaire), il aurait été d’ouvrir 82.
Eh bien, vous vivez et apprenez…..
Je me demande combien de personnes écrivant ci-dessus et de nouveaux utilisateurs de pfsense ont ce problème.
Ainsi, la seule amélioration que je pourrais suggérer à cet article est un commentaire audacieux indiquant qu’une règle de redirection de port n’est pas suffisante en soi – une règle de pare-feu est également requise sur le port redirigé !! Très différent de mon expérience avec les routeurs Netgear, Dlink et TpLink que j’ai utilisés dans le passé.
Merci
John
omis le 16 novembre 2016 :
Salut cher Skear. J’ai besoin de votre aide, j’exécute des adresses IP publiques sur le réseau local et j’ai une adresse IP publique avec une passerelle en wan . mais je ne sais pas comment configurer NAT dans pfsense pour que les clients puissent accéder à Internet.
Sam Kear (auteur) de Kansas City le 06 octobre 2015 :
@Omar Oui, la même méthode peut être utilisée pour rendre votre DVR accessible depuis Internet. Il vous suffirait de déterminer quel port le service utilise et de transférer ce port à l’adresse IP du DVR.
Omar le 05 octobre 2015 :
salut monsieur, puis-je utiliser cette méthode pour la redirection de port cctv dvr pour pouvoir voir mon dvr en ligne?
Sam Kear (auteur) de Kansas City le 19 mai 2015 :
Salut Azem,
Vous auriez simplement besoin de créer une règle de transfert de port pour transférer le port 80 vers 192.168.0.5 et il sera alors accessible depuis l’extérieur de votre réseau.
azem le 17 mai 2015 :
Salut ,
J’ai besoin de votre aide. Quelqu’un peut-il avoir une idée de ma question ?
J’héberge un site Web sur ma machine locale (ip 192.168.0.5) et maintenant je souhaite accéder au site Web depuis l’extérieur de mon réseau avec mon pfsense en direct.?
une idée
Sam Kear (auteur) de Kansas City le 14 décembre 2014 :
@Gary
Avec NAT, vous ne pouvez rediriger le port 80 que vers une seule adresse IP à l’intérieur de votre réseau. La solution pour héberger plusieurs serveurs Web avec NAT consiste à configurer des hôtes virtuels sur votre serveur Web ou à créer un proxy inverse capable de multiplexer les demandes de différents domaines vers le serveur Web approprié.
andré le 14 décembre 2013 :
Salut tous vos guides sont super mais j’ai un problème. Si je transfère le port 21 à mon serveur ftp (passif), tout ce qui se connecte de l’extérieur au ftp fonctionne correctement. Si je transmets un autre port comme 55234, le rediriger vers le port 21 du mode passif de l’adresse LAN du serveur FTP ne fonctionne pas correctement depuis l’extérieur du LAN. Je sais que pfsense a un assistant proxy ftp, se pourrait-il que cela ne fonctionne que lorsque le port fortwared est uniquement sur le port 21 ?
Eldad le 20 janvier 2013 :
Salut,
Super article.
Je voudrais poser une question sur la façon dont puis-je implémenter le pare-feu lorsque j’essaie de simuler différentes connexions NAT (Port-Restricted, Restricted-cone).
Comment puis-je utiliser ce grand pare-feu pour simuler le NAT, bien sûr en utilisant la machine Vmware ? Quelle topologie dois-je utiliser ?
Merci
ratat le 12 janvier 2013 :
Merci un super sujet…..
V pour Verdana le 22 novembre 2011 :
skaire,
agréable de voir quelqu’un écrire un hub qui est pour le chef de la technologie et pas seulement un autre article sur la fabrication de cupcakes. À moins que cupcake ne soit un protocole ?
Kim le 13 novembre 2011 :
merci pour le guide. pouvez-vous autoriser tous les ports sauf 21 et 22 ?
Gean Paul Tura des Philippines le 21 août 2011 :
C’est une grande plaque tournante ! Aide beaucoup pour accéder à mon logiciel de gestion de cybercafé lorsque je suis mobile ! Continuez votre bon travail Sam!