Wie du ein 1:1-NAT auf einer pfSense Firewall einrichtest
![Wie du ein 1:1-NAT auf einer pfSense Firewall einrichtest](/content/images/size/w1200/wordpress/pfsense-thumb.png)
Wenn es um kostenlose und einfach gestrickte Firewalls geht, fällt den meisten wohl als erster Name pfSense ein. Um alle Ports von einer öffentlichen IP-Adresse auf einen Server im internen Netzwerk weiterzuleiten, kann bei pfSense die Funktion 1:1-NAT eingesetzt werden.
Schritt 1: Zusätzliche IP-Adresse hinzufügen
In diesem Beispiel hat der Kunde vom Internet-Provider zwei statische IP-Adressen zugewiesen bekommen. Über die sekundäre IP-Adresse soll ein Anwendungsserver verfügbar gemacht und über die primäre jeglicher anderer Datenverkehr abgewickelt werden, der von anderen sich im internen Netzwerk befindlichen Geräte erzeugt wird.
- Melde dich im Webinterface der pfSense an.
- Klicke unter Firewall auf Virtual IPs.
- Unten rechts klicke auf das „*+“-Symbol.
- Als Type muss „IP Alias“ gewählt werden, zusätzlich das richtige WAN-Interface der Firewall.
- Gebe bei IP-Adress(es) die zusätzliche IP-Adresse des ISPs ein mit dem dazugehörigen Subnetz.
- Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.
Schritt 2: Das 1:1-NAT erstellen
Bei NAT (Network Address Translation) geht es darum, zwischen öffentlichen (routbaren IP-Adressen) und privaten, nicht routbaren IP-Adressen zu übersetzen. Die 1:1-NAT Regel erlaubt es, alle Ports auf die Zieladresse im internen Netzwerk weiterzuleiten.
- Klicke unter Firewall auf NAT.
- Wechsel zur Registerkarte 1:1 und klicke auf das „*+“-Symbol.
- Als External subnet IP muss die in Schritt 1 erstellte virtuelle IP-Adresse ausgewählt werden.
- Bei Internal IP ist die IP-Adresse des Servers aus dem internen Netzwerk einzutragen.
- Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.
Schritt 3: Firewall-Regel für das 1:1-NAT hinzufügen
Wie es bei einer Firewall üblich ist, muss noch eine Regel angelegt werden, ohne die das 1:1-NAT nicht funktioniert.
- Klicke unter Firewall auf Rules.
- Wechsel zur Registerkarte WAN und klicke auf das „*+“-Symbol.
- Bei Protocol ist „any“ auszuwählen, da im Beispiel keine Filterung auf Basis von Protokollen durchgeführt werden soll.
- Bei Destination ist für den Type Single host or alias zu wählen. Ebenfalls bei Destination ist für address die IP-Adresse des Servers aus dem internen Netzwerk einzugeben.
- Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.
Wenn du mehr über 1:1-NAT erfahren möchtest, kannst du dir diesen Artikel der Firma WatchGuard durchlesen: 1-to-1 NAT Example