Hola jrsprescott, en tu ejemplo dices que tu pfSense tiene en la WAN la IP 192.168.1.20, normalmente le WAN del pfSense, debe tener la IP pública que es la que va a recibir el tráfico entrante, de lo contrario, no vas a recibir el tráfico porque este nunca llegará desde Internet a la IP privada 192.168.1.20.
Veamos un para de ejemplos para aclarar lo que te digo:
Ejemplo 1, tráfico saliente desde tu LAN hacia Internet:
-
Origen: máquina con IP privada 172.16.10.10
-
Puerto de origen: TCP dinámico
-
Destino: servidor con IP pública 20.20.20.20
-
Puerto de destino: TCP 990
-
IP LAN pfSense: 172.16.10.1
-
IP WAN pfSense: 88.88.88.88
Cuando esta máquina en tu red interna, desea hacer una conexión saliente a un servidor de destino que escucha en el puerto TCP 990, esta genera un paquete con IP de origen 172.16.10.10, puerto de origen aleatorio, IP de destino 20.20.20.20, puerto de destino TCP 990.
Este paquete se lo envía a la dirección IP del Gateway de la LAN (172.16.10.1), el pfSense le cambia la IP de origen al paquete y le pone como IP de origen su dirección IP pública (88.88.88.88) para que el servidor pueda responder a la solicitud correctamente.
El pfSense, automáticamente abre el puerto en la IP pública solamente para el tráfico de respuesta que venga desde el servidor y desde los puertos de origen y destinos correspondientes.
Cuando se termina la conexión, este puerto se cierra.
Ejemplo1, tráfico entrante desde Internet hacia la LAN:
-
Servidor que origina la conexión: 20.20.20.20
-
Puerto de origen del servidor que origina la conexión: dinámico
-
IP LAN pfSense: 172.16.10.1
-
IP WAN pfSense: 88.88.88.88
-
Máquina de la red interna: 172.16.10.10
-
Puerto de destino de máquina de la red interna: 990
Cuando un servidor/máquina externa, desea iniciar una conexión hacia tu dirección IP pública, esta genera un paquete con IP de origen 20.20.20.20, puerto de origen aleatorio, IP de destino 88.88.88.88, puerto de destino TCP 990.
Este paquete llega a la IP pública del pfSense, debes crear una regla de publicación indicando que el tráfico que llegue a la IP pública de la WAN, al puerto TCP 990, se redireccione a la IP privada 172.16.10.10 al puerto TCP 990.
De esta manera el tráfico llegará a la máquina que está en la LAN.
Ahora veamos entonces cómo crear la regla de publicación del puerto:
Para crear esta regla, debes ir a Firewall / NAT / Port forward
Crea una nueva regla con los siguientes parámetros:
Al final de la regla, selecciona que se cree automáticamente una regla de filtrado.
A partir de este momento, el tráfico entrante al puerto TCP 990 será enviado a la IP de la máquina de la LAN.
Espero te sea útil.