OPNsense/Firewall/NAT: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „= Übersetzung von Netzwerkadressen = Network Address Translation (abgekürzt als NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen. und um eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann auf IPv4 und IPv6 verwendet werden. Für IPv6, [https://docs.opnsense.org/manual/nptv6.html Die Netzwerkpräfixübersetzung ]ist ebenfalls verfügbar. Die meisten der folgenden Optionen verwenden drei versc…“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
; Übersetzung von Netzwerkadressen | |||
Network Address Translation (abgekürzt als NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen. und um eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann auf IPv4 und IPv6 verwendet werden. Für IPv6, [https://docs.opnsense.org/manual/nptv6.html Die Netzwerkpräfixübersetzung ]ist ebenfalls verfügbar. | |||
Die meisten der folgenden Optionen verwenden drei verschiedene Adressen: die Quell-, Ziel- und Umleitungsadresse. Diese Adressen werden für Folgendes verwendet: | |||
{| class="wikitable sortable options" | |||
|- | |||
|| Quelle | |||
|| Woher der Verkehr kommt. Dies kann oft auf „any“ belassen werden. | |||
|- | |||
{| | || Ziel | ||
|- | || Wohin der Verkehr geht. Bei eingehendem Datenverkehr von außen ist dies normalerweise Ihre externe IP-Adresse. | ||
|| Quelle | |- | ||
|| Woher der Verkehr kommt. Dies kann oft auf „any“ belassen werden. | || Umleiten | ||
|- | || Wohin der Verkehr umgeleitet werden soll. | ||
|| Ziel | |||
|| Wohin der Verkehr geht. Bei eingehendem Datenverkehr von außen ist dies normalerweise Ihre externe IP-Adresse. | |||
|- | |||
|| Umleiten | |||
|| Wohin der Verkehr umgeleitet werden soll. | |||
|- | |- | ||
|} | |} | ||
'''Warnung''' * Als Sicherheitsmaßnahme sollte man sich nicht auf die Netzwerkadressübersetzung verlassen. | '''Warnung''' * Als Sicherheitsmaßnahme sollte man sich nicht auf die Netzwerkadressübersetzung verlassen. | ||
* Das Deaktivieren von pf deaktiviert auch NAT. | * Das Deaktivieren von pf deaktiviert auch NAT. | ||
== Begriffe == | |||
=== BINAT === | === BINAT === | ||
NAT funktioniert im Allgemeinen in eine Richtung. Wenn Sie jedoch über Netzwerke gleicher Größe verfügen, können Sie auch BINAT verwenden bidirektional. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine Netzwerke gleicher Größe haben, können Sie nur normales NAT verwenden. | |||
NAT funktioniert im Allgemeinen in eine Richtung. Wenn Sie jedoch über Netzwerke gleicher Größe verfügen, können Sie auch BINAT verwenden bidirektional. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine Netzwerke gleicher Größe haben, können Sie nur normales NAT verwenden. | |||
=== NAT-Reflektion === | === NAT-Reflektion === | ||
Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber die externe IP verwendet Anstelle der internen (die am logischsten wäre), kann die NAT-Reflektion diese Anfrage so umschreiben, dass sie verwendet die interne IP, um Umwege zu vermeiden und Regeln für den tatsächlichen Außenverkehr anzuwenden. | |||
Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber die externe IP verwendet Anstelle der internen (die am logischsten wäre), kann die NAT-Reflektion diese Anfrage so umschreiben, dass sie verwendet die interne IP, um Umwege zu vermeiden und Regeln für den tatsächlichen Außenverkehr anzuwenden. | Hinweis | ||
Die mit der Aktivierung der generierten NAT-Regeln NAT-Reflektion umfassen nur Netzwerke, die direkt mit Ihrem directly verbunden sind Firewall. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dies mit a . hinzufügen manuelle ausgehende NAT-Regel. | |||
Hinweis | |||
Die mit der Aktivierung der generierten NAT-Regeln NAT-Reflektion umfassen nur Netzwerke, die direkt mit Ihrem directly verbunden sind Firewall. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dies mit a . hinzufügen manuelle ausgehende NAT-Regel. | |||
=== Pool-Optionen === | === Pool-Optionen === | ||
Wenn mehrere IPs zur Auswahl stehen, ermöglicht diese Option die Regulierung, welche IP verwendet wird. Der Standard, Round Robin, verteilt Pakete einfach an einen Server nach dem anderen. Wenn Sie nur eine externe haben IP, diese Option hat keine Auswirkung. | |||
Wenn mehrere | == Portweiterleitung == | ||
Wenn mehrere Clients eine externe IP-Adresse teilen, wird jede Verbindung, die nicht von einem der Clients initiiert wurde, nicht erfolgreich sein, da die Firewall nicht weiß, wohin sie den Datenverkehr senden soll. Dies kann durch Erstellen von Ports behoben werden Weiterleitungsregeln. Damit beispielsweise ein Webserver hinter der Firewall erreichbar ist, müssen die Ports 80 und 443 and darauf umgeleitet werden. | |||
Portweiterleitung wird auch als „Destination NAT“ oder „DNAT“ bezeichnet. | |||
In OPNsense kann die Portweiterleitung eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ Port Forward . Hier siehst du eine Übersicht über die Portweiterleitungsregeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . | |||
Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung: | |||
{| class="wikitable sortable options" | |||
|- | |||
|| Deaktiviert | |||
|| Deaktivieren Sie diese Regel, ohne sie zu entfernen. | |||
|- | |||
|| Kein RDR (NICHT) | |||
|| Erstellen Sie keine Umleitungsregel. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. | |||
|- | |||
|| Schnittstelle | |||
|| Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | |||
|- | |||
{| | || TCP/IP-Version | ||
|- | || IPv4, IPv6 oder beides. | ||
|| Deaktiviert | |- | ||
|| Deaktivieren Sie diese Regel, ohne sie zu entfernen. | || Protokoll | ||
|- | || In typischen Szenarien ist dies TCP. | ||
|| Kein RDR (NICHT) | |- | ||
|| Erstellen Sie keine Umleitungsregel. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. | || Quelle | ||
|- | || Woher der Verkehr kommt. Klicken Sie auf „Erweitert“, um die anderen Quelleinstellungen anzuzeigen. | ||
|| Schnittstelle | |- | ||
|| Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | || Quelle / Invertieren | ||
|- | || Invertieren Sie die Übereinstimmung im Feld "Quelle". | ||
|| TCP/IP-Version | |- | ||
|| IPv4, IPv6 oder beides. | || Quellportbereich | ||
|- | || Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). | ||
|| Protokoll | |- | ||
|| In typischen Szenarien ist dies TCP. | || Ziel / Invertieren | ||
|- | || Invertieren Sie die Übereinstimmung im Feld "Ziel". | ||
|| Quelle | |- | ||
|| Woher der Verkehr kommt. Klicken Sie auf „Erweitert“, um die anderen Quelleinstellungen anzuzeigen. | || Ziel | ||
|- | || Wohin der Verkehr geht. | ||
|| Quelle / Invertieren | |- | ||
|| Invertieren Sie die Übereinstimmung im Feld "Quelle". | || Zielportbereich | ||
|- | || Serviceport(s), den/die der Datenverkehr verwendet | ||
|| Quellportbereich | |- | ||
|| Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). | || Ziel-IP umleiten | ||
|- | || Wohin der Verkehr umgeleitet werden soll. | ||
|| Ziel / Invertieren | |- | ||
|| Invertieren Sie die Übereinstimmung im Feld "Ziel". | || Zielport umleiten | ||
|- | || Welcher Port soll verwendet werden (bei Verwendung von TCP und/oder UDP) | ||
|| Ziel | |- | ||
|| Wohin der Verkehr geht. | || Pool-Optionen | ||
|- | || Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. | ||
|| Zielportbereich | |- | ||
|| Serviceport(s), den/die der Datenverkehr verwendet | || Beschreibung | ||
|- | || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | ||
|| Ziel-IP umleiten | |- | ||
|| Wohin der Verkehr umgeleitet werden soll. | || Lokales Tag setzen | ||
|- | || Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. | ||
|| Zielport umleiten | |- | ||
|| Welcher Port soll verwendet werden (bei Verwendung von TCP und/oder UDP) | || Lokales Tag abgleichen | ||
|- | || Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. | ||
|| Pool-Optionen | |- | ||
|| Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. | || Keine XMLRPC-Synchronisierung | ||
|- | || Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) | ||
|| Beschreibung | |- | ||
|| Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | || NAT-Reflexion | ||
|- | || Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. | ||
|| Lokales Tag setzen | |- | ||
|| Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. | || Filter rule association | ||
|- | || Verknüpfen Sie dies mit einer regulären Firewall-Regel. | ||
|| Lokales Tag abgleichen | |||
|| Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. | |||
|- | |||
|| Keine XMLRPC-Synchronisierung | |||
|| Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) | |||
|- | |||
|| NAT-Reflexion | |||
|| Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. | |||
|- | |||
|| Filter rule association | |||
|| Verknüpfen Sie dies mit einer regulären Firewall-Regel. | |||
|- | |- | ||
|} | |} | ||
== Eins-zu-eins == | |||
Eins-zu-eins-NAT übersetzt, wie der Name schon sagt, zwei IPs eins-zu-eins und nicht wie üblich eins-zu-viele. In dieser Hinsicht ähnelt es dem, was NPT für IPv6 tut. | |||
In OPNsense kann One-to-One-NAT eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ One-to-One . Hier sehen Sie ein Überblick über die Eins-zu-eins-Regeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . | |||
Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung: | |||
{| class="wikitable sortable options" | |||
|- | |||
|| Deaktiviert | |||
|| Deaktivieren Sie diese Regel, ohne sie zu entfernen. | |||
|- | |||
|| Schnittstelle | |||
|| Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | |||
|- | |||
|| Art | |||
{| | || BINAT (Standard) oder NAT. Siehe „Einige Begriffe erklärt“. | ||
|- | |- | ||
|| Deaktiviert | || Externes Netzwerk | ||
|| Deaktivieren Sie diese Regel, ohne sie zu entfernen. | || Startadresse des externen Netzwerks, das verwendet werden soll, um Adressen von/nach zu übersetzen. | ||
|- | |- | ||
|| Schnittstelle | || Quelle / invertieren | ||
|| Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | || Invertieren Sie die Übereinstimmung im Feld "Quelle". | ||
|- | |- | ||
|| Art | || Quelle | ||
|| BINAT (Standard) oder NAT. Siehe „Einige Begriffe erklärt“. | || Das interne Netzwerk für diese Zuordnung, normalerweise ein [https://nl.wikipedia.org/wiki/RFC_1918 RFC 1918- ]Bereich | ||
|- | |- | ||
|| Externes Netzwerk | || Ziel / invertieren | ||
|| Startadresse des externen Netzwerks, das verwendet werden soll, um Adressen von/nach zu übersetzen. | || Invertieren Sie die Übereinstimmung im Feld "Ziel". | ||
|- | |- | ||
|| Quelle / invertieren | || Ziel | ||
|| Invertieren Sie die Übereinstimmung im Feld "Quelle". | |||
|- | |||
|| Quelle | |||
|| Das interne Netzwerk für diese Zuordnung, normalerweise ein [https://nl.wikipedia.org/wiki/RFC_1918 RFC 1918- ]Bereich | |||
|- | |||
|| Ziel / invertieren | |||
|| Invertieren Sie die Übereinstimmung im Feld "Ziel". | |||
|- | |||
|| Ziel | |||
|| Die Zielnetzwerkpakete sollten übereinstimmen, wenn sie zum Zuordnen externer Netzwerke verwendet werden, dies ist normalerweise any | || Die Zielnetzwerkpakete sollten übereinstimmen, wenn sie zum Zuordnen externer Netzwerke verwendet werden, dies ist normalerweise any | ||
|- | |- | ||
|| Beschreibung | || Beschreibung | ||
|| Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | ||
|- | |- | ||
|| NAT-Reflexion | || NAT-Reflexion | ||
|| Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. | || Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. | ||
|- | |- | ||
|} | |} | ||
== Outbound == | |||
Wenn ein Client in einem internen Netzwerk eine ausgehende Anfrage stellt, muss das Gateway die Quell-IP ändern in die externe IP des Gateways, da der externe Server sonst keine Antwort zurücksenden kann. | |||
Ausgehendes NAT wird auch als „Quell-NAT“ oder „SNAT“ bezeichnet. | |||
Wenn Sie nur eine externe IP haben, lassen Sie die Outbound-NAT-Optionen auf automatisch. Wenn Sie jedoch mehrere IP-Adressen, möchten Sie vielleicht die Einstellungen ändern und benutzerdefinierte Regeln hinzufügen. | |||
Die wichtigsten Einstellungen für ausgehende Daten sind wie folgt: | |||
{| class="wikitable sortable options" | |||
|- | |||
|| Automatische Generierung von ausgehenden NAT-Regeln | |||
|| Der Standard. Folgt dem oben beschriebenen Verhalten und ist für die meisten Szenarien geeignet. | |||
|- | |||
|| Manuelle Generierung von ausgehenden NAT-Regeln | |||
|| Es werden keine automatischen Regeln generiert. Sie können manuell hinzugefügt werden. | |||
|- | |||
|| Generierung von hybriden ausgehenden NAT-Regeln | |||
|| Automatische Regeln werden hinzugefügt, es können jedoch auch zusätzliche manuelle Regeln hinzugefügt werden. | |||
|- | |||
{| | || Deaktivieren Sie die Generierung von ausgehenden NAT-Regeln | ||
|- | || Deaktiviert ausgehendes NAT. Dies wird beispielsweise für [https://docs.opnsense.org/manual/how-tos/transparent_bridge.html transparente Brücken verwendet ]. | ||
|| Automatische Generierung von ausgehenden NAT-Regeln | |||
|| Der Standard. Folgt dem oben beschriebenen Verhalten und ist für die meisten Szenarien geeignet. | |||
|- | |||
|| Manuelle Generierung von ausgehenden NAT-Regeln | |||
|| Es werden keine automatischen Regeln generiert. Sie können manuell hinzugefügt werden. | |||
|- | |||
|| Generierung von hybriden ausgehenden NAT-Regeln | |||
|| Automatische Regeln werden hinzugefügt, es können jedoch auch zusätzliche manuelle Regeln hinzugefügt werden. | |||
|- | |||
|| Deaktivieren Sie die Generierung von ausgehenden NAT-Regeln | |||
|| Deaktiviert ausgehendes NAT. Dies wird beispielsweise für [https://docs.opnsense.org/manual/how-tos/transparent_bridge.html transparente Brücken verwendet ]. | |||
|- | |- | ||
|} | |} | ||
Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . | Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . | ||
Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung: | |||
{| class="wikitable sortable options" | |||
|- | |||
|| Deaktiviert | |||
{| | || Deaktivieren Sie diese Regel, ohne sie zu entfernen. | ||
|- | |- | ||
|| Deaktiviert | || Nicht NAT | ||
|| Deaktivieren Sie diese Regel, ohne sie zu entfernen. | || Deaktivieren Sie NAT für den gesamten Datenverkehr, der dieser Regel entspricht. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. | ||
|- | |- | ||
|| Nicht NAT | || Schnittstelle | ||
|| Deaktivieren Sie NAT für den gesamten Datenverkehr, der dieser Regel entspricht. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. | || Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | ||
|- | |- | ||
|| Schnittstelle | || TCP/IP-Version | ||
|| Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. | || IPv4 oder IPv6 | ||
|- | |- | ||
|| TCP/IP-Version | || Protokoll | ||
|| IPv4 oder IPv6 | || In typischen Szenarien ist dies TCP. | ||
|- | |- | ||
|| Protokoll | || Quelle invertieren | ||
|| In typischen Szenarien ist dies TCP. | || Invertieren Sie die Übereinstimmung im Feld "Quelle". | ||
|- | |- | ||
|| Quelle invertieren | || Quelle | ||
|| Invertieren Sie die Übereinstimmung im Feld "Quelle". | || Das passende Quellnetzwerk | ||
|- | |- | ||
|| Quelle | || Quellport | ||
|| Das passende Quellnetzwerk | || Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). | ||
|- | |- | ||
|| Quellport | || Zielumkehrung | ||
|| Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). | || Invertieren Sie die Übereinstimmung im Feld "Ziel". | ||
|- | |- | ||
|| Zielumkehrung | || Ziel | ||
|| Invertieren Sie die Übereinstimmung im Feld "Ziel". | || Zielnetzwerk zum Abgleichen | ||
|- | |- | ||
|| Ziel | || Zielhafen | ||
|| Zielnetzwerk zum Abgleichen | || Dienstport, den der Datenverkehr verwendet | ||
|- | |- | ||
|| Zielhafen | || Übersetzung / Ziel | ||
|| Dienstport, den der Datenverkehr verwendet | || Wohin passende Pakete übersetzt werden sollen. | ||
|- | |- | ||
|| Übersetzung / Ziel | || Log | ||
|| Wohin passende Pakete übersetzt werden sollen. | || Setzen Sie Pakete, die dieser Regel entsprechen, in die Protokolle. Verwenden Sie dies sparsam, um ein Überlaufen der Protokolle zu vermeiden. | ||
|- | |- | ||
|| Log | || Übersetzung / Port | ||
|| Setzen Sie Pakete, die dieser Regel entsprechen, in die Protokolle. Verwenden Sie dies sparsam, um ein Überlaufen der Protokolle zu vermeiden. | || Welcher Port soll auf dem Ziel verwendet werden | ||
|- | |- | ||
|| Übersetzung / Port | || Statischer Port | ||
|| Welcher Port soll auf dem Ziel verwendet werden | || Verhindert, dass pf(4) den Quellport von TCP- und UDP-Paketen ändert. | ||
|- | |- | ||
|| Statischer Port | || Pool-Optionen | ||
|| Verhindert, dass pf(4) den Quellport von TCP- und UDP-Paketen ändert. | || Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. | ||
|- | |- | ||
|| Pool-Optionen | || Lokales Tag setzen | ||
|| Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. | || Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. | ||
|- | |- | ||
|| Lokales Tag setzen | || Lokales Tag abgleichen | ||
|| Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. | || Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. | ||
|- | |- | ||
|| Lokales Tag abgleichen | || Keine XMLRPC-Synchronisierung | ||
|| Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. | || Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) | ||
|- | |- | ||
|| Keine XMLRPC-Synchronisierung | || Beschreibung | ||
|| Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) | || Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | ||
|- | |||
|| Beschreibung | |||
|| Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. | |||
|- | |- | ||
|} | |} | ||
Version vom 12. April 2023, 10:29 Uhr
- Übersetzung von Netzwerkadressen
Network Address Translation (abgekürzt als NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen. und um eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann auf IPv4 und IPv6 verwendet werden. Für IPv6, Die Netzwerkpräfixübersetzung ist ebenfalls verfügbar. Die meisten der folgenden Optionen verwenden drei verschiedene Adressen: die Quell-, Ziel- und Umleitungsadresse. Diese Adressen werden für Folgendes verwendet:
| Quelle | Woher der Verkehr kommt. Dies kann oft auf „any“ belassen werden. |
| Ziel | Wohin der Verkehr geht. Bei eingehendem Datenverkehr von außen ist dies normalerweise Ihre externe IP-Adresse. |
| Umleiten | Wohin der Verkehr umgeleitet werden soll. |
Warnung * Als Sicherheitsmaßnahme sollte man sich nicht auf die Netzwerkadressübersetzung verlassen.
- Das Deaktivieren von pf deaktiviert auch NAT.
Begriffe
BINAT
NAT funktioniert im Allgemeinen in eine Richtung. Wenn Sie jedoch über Netzwerke gleicher Größe verfügen, können Sie auch BINAT verwenden bidirektional. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine Netzwerke gleicher Größe haben, können Sie nur normales NAT verwenden.
NAT-Reflektion
Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber die externe IP verwendet Anstelle der internen (die am logischsten wäre), kann die NAT-Reflektion diese Anfrage so umschreiben, dass sie verwendet die interne IP, um Umwege zu vermeiden und Regeln für den tatsächlichen Außenverkehr anzuwenden. Hinweis Die mit der Aktivierung der generierten NAT-Regeln NAT-Reflektion umfassen nur Netzwerke, die direkt mit Ihrem directly verbunden sind Firewall. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dies mit a . hinzufügen manuelle ausgehende NAT-Regel.
Pool-Optionen
Wenn mehrere IPs zur Auswahl stehen, ermöglicht diese Option die Regulierung, welche IP verwendet wird. Der Standard, Round Robin, verteilt Pakete einfach an einen Server nach dem anderen. Wenn Sie nur eine externe haben IP, diese Option hat keine Auswirkung.
Portweiterleitung
Wenn mehrere Clients eine externe IP-Adresse teilen, wird jede Verbindung, die nicht von einem der Clients initiiert wurde, nicht erfolgreich sein, da die Firewall nicht weiß, wohin sie den Datenverkehr senden soll. Dies kann durch Erstellen von Ports behoben werden Weiterleitungsregeln. Damit beispielsweise ein Webserver hinter der Firewall erreichbar ist, müssen die Ports 80 und 443 and darauf umgeleitet werden. Portweiterleitung wird auch als „Destination NAT“ oder „DNAT“ bezeichnet. In OPNsense kann die Portweiterleitung eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ Port Forward . Hier siehst du eine Übersicht über die Portweiterleitungsregeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
| Kein RDR (NICHT) | Erstellen Sie keine Umleitungsregel. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. |
| Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. |
| TCP/IP-Version | IPv4, IPv6 oder beides. |
| Protokoll | In typischen Szenarien ist dies TCP. |
| Quelle | Woher der Verkehr kommt. Klicken Sie auf „Erweitert“, um die anderen Quelleinstellungen anzuzeigen. |
| Quelle / Invertieren | Invertieren Sie die Übereinstimmung im Feld "Quelle". |
| Quellportbereich | Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). |
| Ziel / Invertieren | Invertieren Sie die Übereinstimmung im Feld "Ziel". |
| Ziel | Wohin der Verkehr geht. |
| Zielportbereich | Serviceport(s), den/die der Datenverkehr verwendet |
| Ziel-IP umleiten | Wohin der Verkehr umgeleitet werden soll. |
| Zielport umleiten | Welcher Port soll verwendet werden (bei Verwendung von TCP und/oder UDP) |
| Pool-Optionen | Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. |
| Beschreibung | Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. |
| Lokales Tag setzen | Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. |
| Lokales Tag abgleichen | Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. |
| Keine XMLRPC-Synchronisierung | Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) |
| NAT-Reflexion | Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. |
| Filter rule association | Verknüpfen Sie dies mit einer regulären Firewall-Regel. |
Eins-zu-eins
Eins-zu-eins-NAT übersetzt, wie der Name schon sagt, zwei IPs eins-zu-eins und nicht wie üblich eins-zu-viele. In dieser Hinsicht ähnelt es dem, was NPT für IPv6 tut. In OPNsense kann One-to-One-NAT eingerichtet werden, indem Sie zu navigieren Firewall ‣ NAT ‣ One-to-One . Hier sehen Sie ein Überblick über die Eins-zu-eins-Regeln. Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
| Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. |
| Art | BINAT (Standard) oder NAT. Siehe „Einige Begriffe erklärt“. |
| Externes Netzwerk | Startadresse des externen Netzwerks, das verwendet werden soll, um Adressen von/nach zu übersetzen. |
| Quelle / invertieren | Invertieren Sie die Übereinstimmung im Feld "Quelle". |
| Quelle | Das interne Netzwerk für diese Zuordnung, normalerweise ein RFC 1918- Bereich |
| Ziel / invertieren | Invertieren Sie die Übereinstimmung im Feld "Ziel". |
| Ziel | Die Zielnetzwerkpakete sollten übereinstimmen, wenn sie zum Zuordnen externer Netzwerke verwendet werden, dies ist normalerweise any |
| Beschreibung | Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. |
| NAT-Reflexion | Siehe „Einige Begriffe erklärt“. Belassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. |
Outbound
Wenn ein Client in einem internen Netzwerk eine ausgehende Anfrage stellt, muss das Gateway die Quell-IP ändern in die externe IP des Gateways, da der externe Server sonst keine Antwort zurücksenden kann. Ausgehendes NAT wird auch als „Quell-NAT“ oder „SNAT“ bezeichnet. Wenn Sie nur eine externe IP haben, lassen Sie die Outbound-NAT-Optionen auf automatisch. Wenn Sie jedoch mehrere IP-Adressen, möchten Sie vielleicht die Einstellungen ändern und benutzerdefinierte Regeln hinzufügen. Die wichtigsten Einstellungen für ausgehende Daten sind wie folgt:
| Automatische Generierung von ausgehenden NAT-Regeln | Der Standard. Folgt dem oben beschriebenen Verhalten und ist für die meisten Szenarien geeignet. |
| Manuelle Generierung von ausgehenden NAT-Regeln | Es werden keine automatischen Regeln generiert. Sie können manuell hinzugefügt werden. |
| Generierung von hybriden ausgehenden NAT-Regeln | Automatische Regeln werden hinzugefügt, es können jedoch auch zusätzliche manuelle Regeln hinzugefügt werden. |
| Deaktivieren Sie die Generierung von ausgehenden NAT-Regeln | Deaktiviert ausgehendes NAT. Dies wird beispielsweise für transparente Brücken verwendet . |
Neue Regeln können durch Klicken auf hinzugefügt werden Hinzufügen in der oberen rechten Ecke . Beim Hinzufügen einer Regel stehen die folgenden Felder zur Verfügung:
| Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
| Nicht NAT | Deaktivieren Sie NAT für den gesamten Datenverkehr, der dieser Regel entspricht. Lassen Sie dies deaktiviert, es sei denn, Sie wissen, was Sie tun. |
| Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. Meistens wird dies WAN sein. |
| TCP/IP-Version | IPv4 oder IPv6 |
| Protokoll | In typischen Szenarien ist dies TCP. |
| Quelle invertieren | Invertieren Sie die Übereinstimmung im Feld "Quelle". |
| Quelle | Das passende Quellnetzwerk |
| Quellport | Gegebenenfalls der Quellport, auf den wir abgleichen sollen. Dies ist normalerweise zufällig und entspricht fast nie dem Zielportbereich (und sollte normalerweise 'any' sein). |
| Zielumkehrung | Invertieren Sie die Übereinstimmung im Feld "Ziel". |
| Ziel | Zielnetzwerk zum Abgleichen |
| Zielhafen | Dienstport, den der Datenverkehr verwendet |
| Übersetzung / Ziel | Wohin passende Pakete übersetzt werden sollen. |
| Log | Setzen Sie Pakete, die dieser Regel entsprechen, in die Protokolle. Verwenden Sie dies sparsam, um ein Überlaufen der Protokolle zu vermeiden. |
| Übersetzung / Port | Welcher Port soll auf dem Ziel verwendet werden |
| Statischer Port | Verhindert, dass pf(4) den Quellport von TCP- und UDP-Paketen ändert. |
| Pool-Optionen | Siehe „Einige Begriffe erklärt“. Standardmäßig wird Round-Robin verwendet. |
| Lokales Tag setzen | Legen Sie ein Tag fest, nach dem andere NAT-Regeln und -Filter suchen können. |
| Lokales Tag abgleichen | Suchen Sie nach einem Tag, das von einer anderen Regel festgelegt wurde. |
| Keine XMLRPC-Synchronisierung | Verhindern, dass diese Regel mit einem Backup-Host synchronisiert wird. (Dies auf dem Backup-Host zu überprüfen hat keine Auswirkung.) |
| Beschreibung | Eine Beschreibung, um die Regel in der Übersicht leicht zu finden. |