[pfSense 2.3] Faire du NAT d’une connexion internet vers LAN

Avec pfSense dans votre hyperviseur ou dans votre réseau local, vous pouvez faire du NAT et même du PAT – Ainsi, vos machines « cachées » derrière pfSense pourront accéder à l’internet et être visible sur certains ports selon votre configuration.

Le but de ce document est de vous permettre d’avoir internet dans votre réseau local, c’est-à-dire le réseau « derrière » pfSense. Pour se faire, il faut utiliser le NAT – votre réseau local pourra ainsi accéder à l’internet « grâce à » pfSense et votre IP Failover.

Dans l’interface principale de pfSense, cliquez sur le menu « Firewall » tout en haut, puis sur « NAT« .
Vous arriverez dans la fenêtre ci-dessous :

1_option-nat-manual

Il faut cliquer sur « Outbound » – Il s’agit de la partie permettant de configurer la translation « LAN vers internet ».
Par défaut, l’option est sur « Automatic outbound« , ce n’est pas un choix judicieux pour « nater » le réseau dans votre hyperviseur. En effet, vous n’aurez pas la main complète sur le réseau et par conséquent, vous ne pourrez pas effectuer toutes les redirections que vous souhaiterez.

Il convient donc de cliquer sur « Manual Outbound« , puis sur le bouton « Save » pour sauvegarder les paramètres.

3_save-conf-nat

Les changement seront appliqués uniquement lorsque vous cliquerez sur le bouton « Apply Changes« .
Toutefois, ce n’est pas encore fini. Il faut maintenant créer la règle de NAT permettant la fameuse translation LAN vers internet.

En bas de la fenêtre, cliquez sur le bouton « Add » – vous devez entrer ces paramètres :

2_config-nat-outbound

Concrètement, tout le flux WAN (ports et protocoles) seront redirigés « partout », grâce aux attributs « any » mis un peu partout dans les options. Alors certes, c’est assez « ouvert » puisque tout est mis sur « any », mais il ne s’agit pour l’instant que d’un « accès internet » du LAN VERS le WAN. Depuis l’internet, aucune machine ne verra votre LAN et ne pourra accéder à vos machines, puisqu’il n’y a aucun port / service / protocole « naté » vers votre LAN – il s’agit d’un autre article.

Toutes les machines dans le LAN (derrière pfSense donc) auront comme IP (sur internet) votre IP failover – l’IP failover est l’adresse IP qui doit être attribuée à l’interface WAN de pfSense.

Récapitulatif

Accès internet depuis une machine dans le LAN

Accès LAN depuis internet

Dans la configuration actuelle de cet article, aucun port ni aucun protocole est redirigé sur le pare-feu. Il n’y a donc aucun accès possible à votre LAN depuis l’internet.

Si vous souhaitez dès à présent rendre accessible sur l’internet votre serveur web ou votre serveur de messagerie local, il va alors falloir effectuer du PAT…

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

One Comment

  1. bonjour,

    J’avais une question qui concerne office 365 en effet j’ai un problème quand j’active le squid + squidguard.

    le client outlook reste sur déconnecté.

    Je ne sais pas ce que je dois faire ? mais avez vous une idée??

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close