Compas ayuda con NAT



  • Hola amigos, soy nuevo en el foro y también en PFsense, les cuento he instalado pfsense sin problemas, soy Ingeniero Electrónico y estoy planteando un proyecto en mi primer empleo, como había escuchado buenas cosas de pfsense decidí tomarlo en cuenta para esto, bueno voy al grano.

    La red está muy defectuosa, tiene detalles importantes, pero quiero empezar a reparar y meterme en el tema, poseo conocimientos de redes Cisco a nivel CCNA.

    La red no tiene un controlador de dominio, no posee subredes, ni menos VLANs, es muy básica la red, un firewall fortinet administrado por el ISP es el encargado de generar la red 192.168.1.0/24 y de bloquear algunas cosillas.Existen algunos hosts que necesitan tener conexión con una página de una red que está enrutada por el fortinet. Bueno mi idea es instalar pfsense antes del fortinet y que por ejemplo el pfsense tenga como WAN(podria decirse) una ip del segmento 192.168.1.0(red creada por fortinet), por ejemplo la 192.168.1.2/24, y para mi LAN en pfsense me cree el segmento 192.168.0.0/24. El fortinet está realmente mal configurado ya que bloquea los dominios externos(sitios webs) por nombre y no por IP,algunas IP tienen acceso otras no y que deberían estar con un control, realmente un caos,bueno ese es otro tema.

    La cosa es que necesito permitir para unos hosts 3 dominios(google.com,espn.com,microsoft.com por ejemplo) el resto bloquearlos, y otro grupo con acceso total a todas las paginas como es el caso del depto. de  informatica, lo he logrado configurando pfsense con squidguard y con alias, me dirán por que??, ??? por dos razones, porque si configuraba solo el squidguard y los usuarios me cambiaban la configuración del browser o sea salir sin proxy igual tendrían acceso a todas las paginas(por un tema de reglas del firewall,ya que viene configurado para permitir todo el trafico saliente y si desmarco esta opcion el firewall me bloquea muchas aplicaciones que necesito, asi que preferí dejar esa opción e ir denegando servicios que yo requiera), es por eso que cree alias y configuré reglas en el cortafuegos para denegar http para los usuarios menos privilegiados, y una regla final que permita todo el trafico desde cualquier origen hacia cualquier destino.Con esta configuración si algun usuario me cambia el browser para no ocupar proxy de todas formas no podrá ver ninguna pagina ya que sería el firewall quien bloquee la petición.

    Bueno todo lo anterior me funciona perfectamente, la cosa es que necesito crear 5 nats estaticos, o sea que por ejemplo la 192.168.0.3, …4,...5,...6 y la .7 salgan cada una con una direccion 192.168.1.0/24 excepto la que posee el pfsense como "wan", esto no sé como realizarlo, por favor que me ayuden o me orienten como hacerlo.

    La idea del nat por ejemplo que la 192.168.0.3 salga con la ip 192.168.1.5
    la 192.168.0.4 salga con 192.168.1.6
    etc

    Y que el resto de las ips salga con el nat pat que hace el pfsense que en el ejemplo pusimos 192.168.1.2

    Gracias


Log in to reply