[pfSense 2.3] Faire du NAT d’une connexion internet vers LAN

Avec pfSense dans votre hyperviseur ou dans votre réseau local, vous pouvez faire du NAT et même du PAT – Ainsi, vos machines « cachées » derrière pfSense pourront accéder à l’internet et être visible sur certains ports selon votre configuration.

Le but de ce document est de vous permettre d’avoir internet dans votre réseau local, c’est-à-dire le réseau « derrière » pfSense. Pour se faire, il faut utiliser le NAT – votre réseau local pourra ainsi accéder à l’internet « grâce à » pfSense et votre IP Failover.

Dans l’interface principale de pfSense, cliquez sur le menu « Firewall » tout en haut, puis sur « NAT« .
Vous arriverez dans la fenêtre ci-dessous :

1_option-nat-manual

Il faut cliquer sur « Outbound » – Il s’agit de la partie permettant de configurer la translation « LAN vers internet ».
Par défaut, l’option est sur « Automatic outbound« , ce n’est pas un choix judicieux pour « nater » le réseau dans votre hyperviseur. En effet, vous n’aurez pas la main complète sur le réseau et par conséquent, vous ne pourrez pas effectuer toutes les redirections que vous souhaiterez.

Il convient donc de cliquer sur « Manual Outbound« , puis sur le bouton « Save » pour sauvegarder les paramètres.

3_save-conf-nat

Les changement seront appliqués uniquement lorsque vous cliquerez sur le bouton « Apply Changes« .
Toutefois, ce n’est pas encore fini. Il faut maintenant créer la règle de NAT permettant la fameuse translation LAN vers internet.

En bas de la fenêtre, cliquez sur le bouton « Add » – vous devez entrer ces paramètres :

2_config-nat-outbound

Concrètement, tout le flux WAN (ports et protocoles) seront redirigés « partout », grâce aux attributs « any » mis un peu partout dans les options. Alors certes, c’est assez « ouvert » puisque tout est mis sur « any », mais il ne s’agit pour l’instant que d’un « accès internet » du LAN VERS le WAN. Depuis l’internet, aucune machine ne verra votre LAN et ne pourra accéder à vos machines, puisqu’il n’y a aucun port / service / protocole « naté » vers votre LAN – il s’agit d’un autre article.

Toutes les machines dans le LAN (derrière pfSense donc) auront comme IP (sur internet) votre IP failover – l’IP failover est l’adresse IP qui doit être attribuée à l’interface WAN de pfSense.

Récapitulatif

Accès internet depuis une machine dans le LAN

VM > LAN pfSense > NAT > WAN pfSense > WAN hyperviseur > INTERNET

Accès LAN depuis internet

INTERNET > WAN hyperviseur > WAN pfSense > BLOCK

Dans la configuration actuelle de cet article, aucun port ni aucun protocole est redirigé sur le pare-feu. Il n’y a donc aucun accès possible à votre LAN depuis l’internet.

Si vous souhaitez dès à présent rendre accessible sur l’internet votre serveur web ou votre serveur de messagerie local, il va alors falloir effectuer du PAT…

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

2 commentaires

  1. bonjour,

    J’avais une question qui concerne office 365 en effet j’ai un problème quand j’active le squid + squidguard.

    le client outlook reste sur déconnecté.

    Je ne sais pas ce que je dois faire ? mais avez vous une idée??

  2. Hello,
    Merci pour l’article, j’ai une petite question.
    Mon cas est un peu plus complexe, je souhaiterais avoir un LAN qui utilise WAN2 associé à une IP FO et LAN2 qui utilise WAN3 associé à une autre IP FO.
    Le cas avec une seule IP FO fonctionne parfaitement mais lorsque j’essaye de faire sortir mon LAN2 avec l’IP FO de WAN3.. impossible.

    Une idée sur la configuration ? Je ne dois pas être loins mais je sèche !

    A+

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fermer
Fermer