OPNsense/Firewall/NAT/Portweiterleitung: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 30: Zeile 30:
| Ziel / Umkehren || Verwenden Sie diese Option, um das Ergebnis dieses Vergleichs zu invertieren.
| Ziel / Umkehren || Verwenden Sie diese Option, um das Ergebnis dieses Vergleichs zu invertieren.
|-
|-
| Ziel || Zielportbereich
| Ziel ||  
|}
 
 
 
Weiterleitungseintrag bearbeiten
 
{| class="wikitable sortable options"
|-
|-
|| Deaktiviert
| Zielportbereich || Falls Sie entweder das TCP- oder das UDP-Protokoll, geben Sie den Port oder den Portbereich für das Ziel des Pakets für diese Zuweisung an.
|| Diese Regel deaktivieren
Setze diese Einstellung um die Regel zu deaktivieren aber nicht von der Liste zu entfernen.
|-
|-
|| Kein RDR (NICHT)
| Ziel-IP umleiten || Geben Sie die interne IP-Adresse des Servers ein, auf den Sie die Ports weiterleiten wollen.z.B. ''192.168.1.12''
||
Die Aktivierung dieser Option deaktiviert die Weiterleitung von Datenverkehr der dieser Regel entspricht. Tipp: Diese Option wird selten benötigt. Nutzen Sie diese nur, wenn Sie wissen was Sie tun.
|-
|-
|| Schnittstelle
| Zielport weiterleiten || Geben Sie den Port der Maschine mit obiger IP-Adresse an. Falls Sie einen Portbereich angegeben haben, geben Sie den Beginn den Portbereichs an (das Ende wird automatisch berechnet).Hinweis: Dieser ist üblicherweise mit dem 'von'-Port oben identisch
||
|-
|-
|| Wählen Sie aus, auf welche Schnittstelle diese Regel angewandt werden soll.Tipp: In den meisten Fällen sollten Sie hier WAN benutzen.
| Pooloptionen || Nur die Auswahl von Round Robin funktioniert mit Host Alias. Jede andere Auswahl kann mit einem Subnetz verwendet werden.
* Round Robin: Verwende eine Schleife durch die Übersetzungsadressen.
* Zufällig: Wähle zufällig eine Adresse aus dem Pool der Übersetzungsadressen aus.
* Quell Hash: Verwendet einen Hash der Quelladressen, um die Übersetzungsadresse auszuwählen; stellt sicher, dass die Weiterleitungsadresse für eine bestimmte Quelle immer gleich ist.
* Bitmaske: Wendet die Subnetzmaske an und lässt den letzten Teil identisch. 10.0.1.50 -> x.x.x.50
* Dauerhafte Adresszuordnung: Die Einstellung der dauerhaften Adresszuordnung ("Sticky") kann zusammen mit den Pooltypen "Zufällig" und "Round Robin" verwendet werden, um sicherzustellen, dass eine bestimmte Quelladresse immer der gleichen Übersetzungsadresse zugeordnet wird.
|-
|-
|| TCP/IP Version
| Protokoll || Protokolliere Pakete die von dieser Regel behandelt werdenHinweis: Die Firewall hat begrenzten lokalen Protokollspeicherplatz. Aktivieren Sie die Protokollierung nicht für alles. Falls Sie viel protokollieren wollen, sollten Sie sich überlegen, einen [https://192.168.1.1/diag_logs_settings.php fernen Syslog-Server] zu verwenden.
|-
|-
|| Wählen Sie die Internet Protokoll-Version aus, auf die diese Regel angewandt werden soll
| Kategorie || Sie können hier eine Kategorie eingeben oder auswählen, um die Firewallregeln zu gruppieren (nicht geparst).
|-
|-
|| Protokoll
| Beschreibung || Die Beschreibung wird nicht als Parameter verwendet.
|-
|-
|| Wählen Sie aus, für welches IP Protokoll diese Regel gelten soll.Hinweis: In den meisten Fällen sollten Sie dies angeben ''TCP''  hier.
| Setze lokal-Tag || Sie können ein Paket, das dieser Regel entspricht, markieren und diese Markierung in anderen NAT- bzw. Filterregeln verwenden.
|-
|-
|| Quelle
| Prüfe auf die lokale Markierung || Sie können ein Paket auf eine Markierung prüfen, die von einer anderen Regel erstellt wurde.
|-
|-
|| Zeige Quelladresse und Portbereich
| Keine XMLRPC Synchronisation || Hinweis: Dadurch wird verhindert, dass Regeln von Master automatisch auf andere CARP-Mitglieder synchronisiert werden. Dadurch wird NICHT verhindert, dass die Regel auf dem Slave überschrieben wird.
||
|-
|-
|| Ziel / Umkehren
| NAT reflection ||
|| Verwenden Sie diese Option, um das Ergebnis dieses Vergleichs zu invertieren.
|-
|| Ziel
|-
|| Zielportbereich
|-
! align=center| von:
! align=center| an:
|-
| Falls Sie entwader das TCP- oder das UDP-Protokoll, geben Sie den Port oder den Portbereich für das Ziel des Pakets für diese Zuweisung an.
|-
|| Ziel-IP umleiten
Geben Sie die interne IP-Adresse des Servers ein, auf den Sie die Ports weiterleiten wollen.z.B. ''192.168.1.12''
|-
|| Zielport weiterleiten
Geben Sie den Port der Maschine mit obiger IP-Adresse an. Falls Sie einen Portbereich angegeben haben, geben Sie den Beginn den Portbereichs an (das Ende wird automatisch berechnet).Hinweis: Dieser ist üblicherweise mit dem 'von'-Port oben identisch
|-
|| Pooloptionen:
|-
|| Nur die Auswahl von Round Robin funktioniert mit Host Alias. Jede andere Auswahl kann mit einem Subnetz verwendet werden.<nowiki>* Round Robin: Verwende eine Schleife durch die </nowiki>Übersetzungsadressen.<nowiki>* Zufällig: Wähle zufällig eine Adresse aus dem Pool der Übersetzungsadressen aus.</nowiki><nowiki>* Quell Hash: Verwendet einen Hash der Quelladressen, um die Übersetzungsadresse auszuwählen; stellt sicher, dass die Weiterleitungsadresse für eine bestimmte Quelle immer gleich ist.</nowiki><nowiki>* Bitmaske: Wendet die Subnetzmaske an und lässt den letzten Teil identisch. 10.0.1.50 -> x.x.x.50</nowiki><nowiki>* Dauerhafte Adresszuordnung: Die Einstellung der dauerhaften Adresszuordnung ("Sticky") kann zusammen mit den Pooltypen "Zufällig" und "Round Robin" verwendet werden, um sicherzustellen, dass eine bestimmte Quelladresse immer der gleichen Übersetzungsadresse zugeordnet wird.</nowiki>
||
|-
|| Protokoll
|| Protokolliere Pakete die von dieser Regel behandelt werdenHinweis: Die Firewall hat begrenzten lokalen Protokollspeicherplatz. Aktivieren Sie die Protokollierung nicht für alles. Falls Sie viel protokollieren wollen, sollten Sie sich überlegen, einen [https://192.168.1.1/diag_logs_settings.php fernen Syslog-Server] zu verwenden.
|-
|| Kategorie
|| Sie können hier eine Kategorie eingeben oder auswählen, um die Firewallregeln zu gruppieren (nicht geparst).
|-
|| Beschreibung
|| Die Beschreibung wird nicht als Parameter verwendet.
|-
|| Setze lokal-Tag
|| Sie können ein Paket, das dieser Regel entspricht, markieren und diese Markierung in anderen NAT- bzw. Filterregeln verwenden.
|-
|| Prüfe auf die lokale Markierung
|| Sie können ein Paket auf eine Markierung prüfen, die von einer anderen Regel erstellt wurde.
|-
|| Keine XMLRPC Synchronisation
|| Hinweis: Dadurch wird verhindert, dass Regeln von Master automatisch auf andere CARP-Mitglieder synchronisiert werden. Dadurch wird NICHT verhindert, dass die Regel auf dem Slave überschrieben wird.
|-
|| NAT reflection
||
|-
|| Filter Regel Zuordnung
|-
|| HINWEIS: Die Auswahl "pass" funktioniert bei Multi-WAN nicht korrekt. Es wird nur auf der Schnittstelle funktionieren, die das Standard Gateway verwendet.
|-
|-
| Filter Regel Zuordnung || HINWEIS: Die Auswahl "pass" funktioniert bei Multi-WAN nicht korrekt. Es wird nur auf der Schnittstelle funktionieren, die das Standard Gateway verwendet.
|}
|}


Version vom 12. April 2023, 10:13 Uhr

Portweiterleitungen ermöglichen den Zugriff auf Rechner hinter einem NAT-Router

Beschreibung

Anwendungen

Test

Fehlerbehebung

Konfiguration

Weiterleitungseintrag bearbeiten

Option Beschreibung
Deaktiviert Diese Regel deaktivieren. Setze diese Einstellung um die Regel zu deaktivieren aber nicht von der Liste zu entfernen.
Kein RDR (NICHT) Die Aktivierung dieser Option deaktiviert die Weiterleitung von Datenverkehr der dieser Regel entspricht. Tipp: Diese Option wird selten benötigt. Nutzen Sie diese nur, wenn Sie wissen was Sie tun.
Schnittstelle Wählen Sie aus, auf welche Schnittstelle diese Regel angewandt werden soll.Tipp: In den meisten Fällen sollten Sie hier WAN benutzen.
TCP/IP Version Wählen Sie die Internet Protokoll-Version aus, auf die diese Regel angewandt werden soll
Protokoll Wählen Sie aus, für welches IP Protokoll diese Regel gelten soll.Hinweis: In den meisten Fällen sollten Sie dies angeben TCP  hier.
Quelle Zeige Quelladresse und Portbereich
Ziel / Umkehren Verwenden Sie diese Option, um das Ergebnis dieses Vergleichs zu invertieren.
Ziel
Zielportbereich Falls Sie entweder das TCP- oder das UDP-Protokoll, geben Sie den Port oder den Portbereich für das Ziel des Pakets für diese Zuweisung an.
Ziel-IP umleiten Geben Sie die interne IP-Adresse des Servers ein, auf den Sie die Ports weiterleiten wollen.z.B. 192.168.1.12
Zielport weiterleiten Geben Sie den Port der Maschine mit obiger IP-Adresse an. Falls Sie einen Portbereich angegeben haben, geben Sie den Beginn den Portbereichs an (das Ende wird automatisch berechnet).Hinweis: Dieser ist üblicherweise mit dem 'von'-Port oben identisch
Pooloptionen Nur die Auswahl von Round Robin funktioniert mit Host Alias. Jede andere Auswahl kann mit einem Subnetz verwendet werden.
  • Round Robin: Verwende eine Schleife durch die Übersetzungsadressen.
  • Zufällig: Wähle zufällig eine Adresse aus dem Pool der Übersetzungsadressen aus.
  • Quell Hash: Verwendet einen Hash der Quelladressen, um die Übersetzungsadresse auszuwählen; stellt sicher, dass die Weiterleitungsadresse für eine bestimmte Quelle immer gleich ist.
  • Bitmaske: Wendet die Subnetzmaske an und lässt den letzten Teil identisch. 10.0.1.50 -> x.x.x.50
  • Dauerhafte Adresszuordnung: Die Einstellung der dauerhaften Adresszuordnung ("Sticky") kann zusammen mit den Pooltypen "Zufällig" und "Round Robin" verwendet werden, um sicherzustellen, dass eine bestimmte Quelladresse immer der gleichen Übersetzungsadresse zugeordnet wird.
Protokoll Protokolliere Pakete die von dieser Regel behandelt werdenHinweis: Die Firewall hat begrenzten lokalen Protokollspeicherplatz. Aktivieren Sie die Protokollierung nicht für alles. Falls Sie viel protokollieren wollen, sollten Sie sich überlegen, einen fernen Syslog-Server zu verwenden.
Kategorie Sie können hier eine Kategorie eingeben oder auswählen, um die Firewallregeln zu gruppieren (nicht geparst).
Beschreibung Die Beschreibung wird nicht als Parameter verwendet.
Setze lokal-Tag Sie können ein Paket, das dieser Regel entspricht, markieren und diese Markierung in anderen NAT- bzw. Filterregeln verwenden.
Prüfe auf die lokale Markierung Sie können ein Paket auf eine Markierung prüfen, die von einer anderen Regel erstellt wurde.
Keine XMLRPC Synchronisation Hinweis: Dadurch wird verhindert, dass Regeln von Master automatisch auf andere CARP-Mitglieder synchronisiert werden. Dadurch wird NICHT verhindert, dass die Regel auf dem Slave überschrieben wird.
NAT reflection
Filter Regel Zuordnung HINWEIS: Die Auswahl "pass" funktioniert bei Multi-WAN nicht korrekt. Es wird nur auf der Schnittstelle funktionieren, die das Standard Gateway verwendet.

Beispiel

Zugriff aus dem Internet auf den SSH-Server 192.168.1.110

Einrichtung

Firewall-Einstellungen prüfen/anpassen

Firewall -> Settings -> Advanced
  1. Reflection for port forwards: Enabled
  2. Reflection for 1:1: Disabled
  3. Automatic outbound NAT for Reflection: Enabled
Änderungen speichern

Port Forwarding

Firewall -> NAT -> Port Forward -> Add
  1. Interface: WAN
  2. TCP/IP Version: IPv4
  3. Protocol: TCP
Source > Advanced
  1. Source / Invert: Unchecked
  2. Source: Any
  3. Source Port Range: any to any
  4. Destination / Invert: Unchecked
  5. FIXME: Destination: 84.132.103.64
  6. Destination Port range: (other) 2227 to (other) 2227
  7. Redirect target IP: Alias "192.168.1.110"
  8. Redirect target Port: (other) 22
  9. Pool Options: Default
  10. NAT reflection: Enable
  11. Filter rule association: Rule NAT
Änderungen speichern
Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/Firewall/NAT/Portweiterleitung&oldid=63179