LAN
En esta zona tenemos las reglas por defecto, así que lo que voy a hacer es agregar las reglas arriba de estas.
Editar Regla de Firewall
La acción que le vamos a dar será permitir, la interfaz es LAN, el tipo de familia de la dirección será IPv4 y el protocolo será tcp.
Fuente
La fuente va a ser la pc Linux, así que seleccionamos "Un único host o alias". Luego en la dirección origen vamos a colocar la dirección IP 172.16.0.5.
Destino
La pc Linux se va a comunicar con Ubuntu Server que será el destino, que también será un "Un único host o alias" con dirección IP 10.0.0.2. Dado que nosotros seleccionamos tcp para el protocolo, se nos está mostrando la opción de ¿Rango de puertos de destino?, así que ese puerto es el puerto 22 que corresponde a ssh.
Opciones adicionales
Luego vamos a poner en descripción "Permitir ssh Ubuntu Server a 172.16.0.5" y guardamos los cambios.
En la segunda regla vamos a permitir el tráfico desde la LAN a la DMZ por el puerto 80 y 443.
En esta regla únicamente agregamos el puerto 80 ahora necesitamos agregar el puerto 443.
La tercera regla va a bloquear el tráfico de la LAN a la DMZ.
En la cuarta regla vamos a permitir todas las conexiones desde la LAN hacia la WAN. Esto significa que la fuente será la LANnet y el destino será cualquier IP que se encuentre en internet. Pero esta regla se creó por defecto coundo configuramos el pfSense.
WAN
En la zona WAN las reglas por defecto están bloqueando las redes privadas y redes bogon. Pero nosotros necesitamos permitir que los clientes accedan a la DMZ por los puertos 80 y 443.
Ahora voy a crear la misma regla para el puerto 443.
La última regla que tenemos como requerimiento en la WAN "bloquear todo" no es necesaria ya que automáticamente se va a bloquear todo el tráfico.
En este momento todos los requerimientos que tenemos como reglas ya han sido creadas.
Vamos a probar si funcionan el firewall. En Ubuntu Server está corriendo Apache2 y OpenSSH.
Desde el equipo Windows con IP 172.16.0.4 nos permitirá conectarnos al servicio web pero no acceder por SSH.
Hacemos la misma prueba desde el equipo Linux con IP 172.16.0.5 y nos permitirá conectarnos a los dos servicios del Server.
Este equipo si tiene permiso para conectarse vía ssh. Como vemos las reglas están funcionando correctamente. 👏👏
