NAT или трансляция сетевых адресов — это процесс переназначения одного пространства IP-адресов в другое путем изменения информации о сетевой адресации в пакетах IP-заголовков. NAT позволяет сети LAN использовать один набор IP-адресов для внутреннего трафика и второй набор адресов для внешнего трафика.
В обычном сценарии NAT позволяет частной локальной сети получить доступ к Интернету. Это называется «Исходящий NAT». И разрешает доступ к серверу внутри частной локальной сети из внешней. Это называется «Переадресация порта».
По умолчанию исходящий NAT на OPNSense включен. Если вы правильно настроили брандмауэр, частная локальная сеть уже имеет подключение к Интернету через интерфейс OPNSense WAN. Все исходящие интернет-соединения из частной локальной сети будут определяться как IP-адрес OPNSense WAN.
В этой статье показано, как настроить переадресацию портов NAT на маршрутизаторе брандмауэра OPNSense. Мы предоставим внешней сети доступ к серверу внутри частной локальной сети. Для этого разрешим подключения SSH и HTTP из внешней сети к серверу в частной локальной сети.
Конфигурация среды.
Для этой статьи я подготовил OPNSense, установленный на VirtualBox, и сервер Ubuntu, работающий в частной локальной сети OPNSense.
Конфигурация хостов следующая:
OPNSense файрвол
- LAN IP: 192.168.56.10
- WAN IP: 192.168.0.111
- DHCP: Enable
- DHCP range: 192.168.56.1 — 192.168.56.254
Сервер Ubuntu
- Интерфейс: enp0s3
- LAN IP: 192.168.56.1
Сервер Ubuntu
Первым делом, мы проверим правильность подключения к серверу Ubuntu, проверив его IP-адрес и маршрут сети по умолчанию.
Запустите следующую команды на сервере Ubuntu.
ifconfig
route -n
Вы должны получить примерно следующий результат:
Сервер Ubuntu с IP-адресом «192.168.56.1» и шлюзом по умолчанию «192.168.56.10».
Затем проверьте подключение к Интернету на сервере Ubuntu, используя приведенные ниже команды ping.
ping -c3 192.168.56.10
ping -c3 roadit.ru
Сервер Ubuntu в частной локальной сети имеет подключение к Интернету через маршрутизатор брандмауэра OPNSense.
Создадим переадресацию портов NAT для службы SSH.
На этом шаге будет создана переадресация портов NAT для SSH-соединения с сервером Ubuntu.
Войдите в панель веб-администратора OPNSense, используя пользователя root и пароль.
Далее мы создадим переадресацию портов NAT на порту 22 интерфейса WAN. После чего, любое входящее соединение с IP-адресом WAN на порту 22 будет перенаправлено на частный IP-адрес локальной сети «192.168.56.1» порт 22.
В левой части нажмите Межсетевой экран > NAT > Переадресация портов
Теперь нажмите кнопку «Добавить», чтобы добавить новое правило переадресации портов NAT.
Теперь создайте конфигурацию переадресации портов NAT для службы SSH:
Интерфейс: WAN
Версии TCPI/IP: IPv4
Протокол: TCP
Назначение: WAN адрес
Диапазон портов назначения: SSH SSH
Перенаправление целевого IP-адреса: 192.168.56.10
Целевой порт перенаправления: SSH
Описание: Nat SSH to Ubuntu Server
Теперь нажмите кнопку «Сохранить» внизу, и вы будете перенаправлены на страницу переадресации портов. Нажмите кнопку «Применить изменения», чтобы применить новую конфигурацию. Все, переадресация портов NAT для доступа по SSH к серверу Ubuntu создана и применена.
Далее мы попытаемся получить доступ к серверу Ubuntu через IP-адрес OPNSense WAN, используя приведенную ниже команду ssh.
ssh user@192.168.0.111
Вы войдете на сервер Ubuntu в приватной локальной сети, благодаря переадресации портов OPNSense NAT.
Как можно увидеть, при подключении к WAN порту OPNSense попадаем на сервер Ubuntu, который находится во внутренней сети.
Создание переадресации портов NAT для службы HTTP.
Перед тем, как настроить переадресацию портов для служб http, необходимо сделать некоторый первоначальные настройки.
Первым делом поменяем порт, по которому мы попадаем на веб-интерфейс OPNSense. По умолчанию это либо 443, либо 80. Чтобы у нас не пропал на него доступ после настройки переадресации HTTP, сменим его на какой-нибудь «нейтральный». Для этого зайдем в меню Система > Настройки > Администрирование и поменяем значение «порт TCP».
В данном случае я поменял на 8453 и теперь веб интерфейс доступен по адресу https://ip_address:8453
Во вторых, установим на наш ubuntu nginx, чтобы было что переадресовывать. Для этого выполним следующую команду:
sudo apt install nginx -y
После завершения установки перейдите в корневой каталог сайта «/var/www/html» и создайте новую пользовательскую страницу «index.html».
cd /var/www/html
echo "<h1><center>This is Ubuntu server, not OPNSense</center></h1>" > index.html
После этого вернитесь к панели администрирования OPNSense.
Перейдите в меню «Межсетевой экран > NAT > Переадресация портов»
Теперь нажмите кнопку «Добавить», чтобы добавить новое правило переадресации портов NAT.
Теперь создадим конфигурацию переадресации портов NAT для службы HTTP, как показано ниже.
Интерфейс: WAN
Версия TCP/IP: IPv4
Протокол: TCP
Назначение: WAN адрес
Диапазон портов назначения: HTTP HTTP
Перенаправление целевого IP-адреса: 192.168.56.10
Целевой порт перенаправления: HTTP
Описание: NAT HTTP to Ubuntu Server
Теперь нажмите кнопку «Сохранить» на нижней странице, вы будете перенаправлены на страницу настройки. Нажмите кнопку «Применить изменения», чтобы применить изменения.
Теперь открываем в браузере ip адрес нашего OPNSense и попадаем на сервер Ubuntu
В результате веб-сервер Nginx HTTP в частной сети доступен снаружи через маршрутизатор брандмауэра OPNSense.
Заключение
Теперь вы можете попытаться настроить другую переадресацию портов NAT для вашего приложения через маршрутизатор брандмауэра OPNSense. Суть, я думаю, вы уловили.
Was this helpful?
0 / 0