Ao definir as configurações de TCP/IP em um dispositivo, uma máscara de sub-rede (ou tamanho do prefixo para IPv6) deve ser especificada. Essa máscara permite que o dispositivo determine quais endereços IP estão na rede local e quais devem ser alcançados por um gateway na tabela de roteamento do dispositivo. O endereço IP da LAN padrão de 192.168.1.1 com uma máscara de 255.255.255.0 ou /24 na notação CIDR possui um endereço de rede 192.168.1.0/24. O CIDR é discutido em Entendendo a notação de máscara de sub-rede do CIDR.
A configuração TCP/IP de um host consiste no endereço, na máscara de sub-rede (ou no tamanho do prefixo do IPv6) e no gateway. O endereço IP combinado com a máscara de sub-rede é como o host identifica quais endereços IP estão em sua rede local. Endereços fora da rede local são enviados para o gateway padrão configurado do host, o qual assume que passará o tráfego para o destino desejado. Uma exceção a essa regra é uma rota estática que instrui um dispositivo a entrar em contato com sub-redes não locais específicas que podem ser acessadas por meio de roteadores conectados localmente. Esta lista de gateways e rotas estáticas é mantida na tabela de roteamento de cada host. Para ver a tabela de roteamento usada pelo pfSense, consulte Exibindo rotas. Mais informações sobre roteamento podem ser encontradas em Roteamento.
Em uma implantação típica do pfSense, os hosts recebem um endereço IP, uma máscara de sub-rede e um gateway no intervalo da LAN do dispositivo pfSense. O endereço IP da LAN no pfSense se torna o gateway padrão. Para hosts conectados por uma interface diferente da LAN, use a configuração apropriada para a interface à qual o dispositivo está conectado.
Os hosts em uma única rede se comunicam diretamente entre si sem o envolvimento do gateway padrão. Isso significa que nenhum firewall, incluindo o pfSense, pode controlar a comunicação entre hosts dentro de um segmento de rede. Se essa funcionalidade for necessária, os hosts precisam ser segmentados por meio do uso de vários switches, VLANs ou empregar a funcionalidade de comutador equivalente, como o PVLAN. As VLANs são cobertas em LANs virtuais (VLANs).