Cómo configurar el reenvío de puertos en OPNSense

NAT o Traducción de Direcciones de Red es el proceso de reasignar un espacio de direcciones IP a otro modificando la información de direccionamiento de red en los paquetes de encabezado IP. NAT permitirá que una red LAN use un conjunto de direcciones IP para el tráfico interno y un segundo conjunto de direcciones para el tráfico externo.

En un escenario común, NAT permitirá que una LAN privada acceda a Internet público. Se llama ‘NAT Saliente’. Y permite que Internet público acceda al servidor dentro de una LAN privada. Se llama ‘Reenvío de Puertos’.

Por defecto, el NAT saliente en el OPNSense ha sido habilitado. Si estás configurando tu firewall correctamente, la LAN privada ya tiene una conexión a Internet a través de la interfaz WAN de OPNSense. Todas las conexiones de Internet salientes desde la LAN privada serán detectadas como la dirección IP WAN de OPNSense.

Esta guía te mostrará cómo configurar el reenvío de puertos NAT en el enrutador de firewall OPNSense. Permitiremos que Internet público acceda al servidor dentro de la LAN privada. Permitiremos conexiones SSH y HTTP desde Internet público al servidor en la LAN privada.

1. Configuración del Entorno

Para esta guía, ya tenemos un OPNSense instalado en VirtualBox y el servidor Ubuntu ejecutándose dentro de la LAN privada de OPNSense.

A continuación se presentan configuraciones de red detalladas tanto para el enrutador de firewall OPNSense como para el servidor Ubuntu.

Enrutador de Firewall OPNSense

IP LAN: 10.5.5.1/24
IP WAN: 192.168.1.25/24
DHCP: ENCENDIDO
Rango de IP DHCP: 10.5.5.10-10.5.5.50

Servidor Ubuntu

Interfaz: eth0
IP LAN: 10.5.5.11/24

2. Prueba del Servidor Ubuntu

Primero, nos aseguraremos de que la conexión en el servidor Ubuntu esté funcionando correctamente verificando su dirección IP y la ruta predeterminada de la red.

Ejecuta el siguiente comando en el servidor Ubuntu.

ifconfig  
route -n

Y obtendrás el resultado como se muestra a continuación.

El servidor Ubuntu con la dirección IP ‘ 10.5.5.11 ‘, y la puerta de enlace predeterminada ‘ 10.5.5.1 ‘.

A continuación, prueba la conexión a Internet en el servidor Ubuntu utilizando el comando ping a continuación.

ping -c3 10.5.5.1  
ping -c3 howtoforge.com

A continuación se muestra el resultado.

El servidor Ubuntu en la LAN privada tiene una conexión a Internet a través del enrutador de firewall OPNSense.

3. Crear Reenvío de Puertos NAT para el Servicio SSH

Este paso creará el reenvío de puertos NAT para la conexión SSH al servidor Ubuntu.

Inicia sesión en el panel de administración web de OPNSense con tu usuario root y contraseña.

https://10.5.5.1:8443/

Nota:

Cambia el puerto ‘ 8443 ‘ por tu propio puerto porque es el puerto personalizado para el panel de administración de OPNSense.

A continuación, crearemos el reenvío de puertos NAT en la interfaz WAN puerto 22, y cualquier conexión entrante a la dirección IP WAN en el puerto 22 será redirigida a la dirección IP de la LAN privada ‘10.5.5.11’ puerto 22.

En el lado izquierdo, haz clic en el menú ‘ Firewall > NAT > Port Forward ‘.

Ahora haz clic en el botón ‘ Agregar ‘ para añadir una nueva regla de reenvío de puertos NAT.

Ahora, crea la configuración de reenvío de puertos NAT para el servicio SSH como se muestra a continuación.

Interfaz: WAN  
Versión TCP/IP: IPv4  
Protocolo: TCP  
  
Destino: Dirección WAN  
Rango de Puertos de Destino: SSH  
  
IP de destino de redirección: 10.5.5.11  
Puerto de destino de redirección: SSH  
  
Descripción: NAT SSH al Servidor Ubuntu

Ahora haz clic en el botón ‘ Guardar ‘ en la parte inferior, y serás redirigido a la página de Reenvío de Puertos. Haz clic en el botón ‘ Aplicar Cambios ‘ para aplicar la nueva configuración. El reenvío de puertos NAT para el acceso SSH al servidor Ubuntu ha sido creado y aplicado.

A continuación, intentaremos acceder al servidor Ubuntu a través de la dirección IP WAN de OPNSense utilizando el comando ssh a continuación.

ssh [email protected]  
Escribe tu contraseña:

Iniciarás sesión en el servidor Ubuntu en la LAN Privada a través del reenvío de puertos NAT de OPNSense.

Prueba el servidor utilizando el comando ifconfig, y obtendrás los mismos resultados que arriba (ver sección 1).

ifconfig  
route -n

El reenvío de puertos NAT para el servicio SSH al servidor Ubuntu ha sido creado. Puedes conectarte al servidor Ubuntu desde fuera de la red.

4. Crear Reenvío de Puertos NAT para el Servicio HTTP

Antes de crear la regla NAT para el servicio HTTP, instalemos el servidor web Nginx en el servidor Ubuntu.

sudo apt install nginx -y

Una vez que la instalación esté completa, ve al directorio raíz del sitio ‘/var/www/html’ y crea una nueva página personalizada ‘index.html’.

cd /var/www/html  
echo "Servidor Ubuntu - Reenvío de Puertos NAT al Servicio HTTP
" > index.html

Después de eso, regresa al panel de administración de OPNSense.

Haz clic en el menú ‘ Firewall > NAT > Port Forward ‘ a la izquierda.

Ahora haz clic en el botón ‘ Agregar ‘ para añadir una nueva regla de reenvío de puertos NAT.

Ahora crea la configuración de reenvío de puertos NAT para el servicio HTTP como se muestra a continuación.

Interfaz: WAN  
Versión TCP/IP: IPv4  
Protocolo: TCP  
  
Destino: Dirección WAN  
Rango de Puertos de Destino: HTTP  
  
IP de destino de redirección: 10.5.5.11  
Puerto de destino de redirección: HTTP  
  
Descripción: NAT HTTP al Servidor Ubuntu**

Ahora haz clic en el botón ‘ Guardar ‘ en la parte inferior de la página, y serás redirigido a la página de Reenvío de Puertos. Haz clic en el botón ‘ Aplicar Cambios ‘ para aplicar los cambios. El reenvío de puertos NAT para el Servicio HTTP ha sido añadido.