Eu recentemente (ou seja, há 4 dias) configurei uma caixa firewall / roteador pfSense. Isso funciona incrivelmente bem. Estou com alguns problemas:
1) Eu não consigo acessar o SSH remotamente, apesar de ativar o SSH. Eu posso, no entanto, acessar o SSH da caixa internamente. Eu estou atualmente trabalhando em torno disso por SSHing para uma caixa interna (via porta 2222), em seguida, SSHing para a caixa de "dentro".
2) Não consigo acessar a página da caixa remotamente. Atualmente trabalhando em torno disso pelo encaminhamento de porta SSH através da caixa mencionada anteriormente.
3) Não consigo acessar portas encaminhadas internamente. Eu vi este item de documentação ( link text ), mas estou tentando decidir sobre segurança versus facilidade de configuração.
FYI, minha configuração é a seguinte:
[INTERNET] <--> ["DUMB" DSL MODEM (in "bridge" mode passing external IP on to pfSense)] <--> [pfSense box] <--> [24-port gig switch] <--> [OFFICE COMPUTERS]
Abrir brechas para acesso externo ao seu firewall é considerado uma prática de segurança ruim. Até onde sei, o pfsense possui capacidade VPN integrada: tanto o IPsec quanto o PPTP podem ser usados.
Para o PPTP, você pode usar o Windows e o software cliente do Linux para se conectar. Aqui está a documentação oficial do pfsense sobre VPN PPTP .
Para configurar o PPTP no Linux, visite o site do cliente pptp .
Você precisa ter certeza de que há um buraco no seu firewall para permitir o tráfego de entrada na porta 22.
Não permita, sob nenhuma circunstância, o tráfego de entrada na porta 80 ou 443.
Se você quiser, recomendo configurar uma chave ssh. Dessa forma, você não precisa fornecer uma senha toda vez que fizer login.
Se você precisar de acesso ssh externo à sua caixa PFSense, você precisa configurar o NAT e abrir uma porta de firewall (é claro, o PFSense fará isso para você de uma só vez se você permitir). Quando você seleciona o acesso ssh através da interface web, ele habilita o ssh na porta lan.
Se o seu roteador tivesse uma interface lan de 192.168.1.1, você configuraria um nat apontando a porta externa que você deseja usar (talvez algo como 2222 em vez do padrão 22 para um pouco de obscuridade) para a porta 22 (ou o que você escolheu quando ativou o ssh) em 192.168.1.1.
Você pode fazer o mesmo para o acesso à web, mas não precisa fazer isso e, pelo menos, deve ativar apenas o suporte a https. Você também pode usar as configurações do firewall para limitar o acesso a apenas alguns hosts, se apropriado. (ou seja, só acessa o roteador de trabalho de casa ou vice-versa).