NATまたはネットワークアドレス変換は、IPヘッダーパケット内のネットワークアドレス情報を変更することによって、1つのIPアドレス空間を別のものに再マッピングするプロセスです。NATは、LANネットワークが内部トラフィック用に1セットのIPアドレスを使用し、外部トラフィック用に別のセットのアドレスを使用できるようにします。

一般的なシナリオでは、NATはプライベートLANが公共インターネットにアクセスできるようにします。これを「アウトバウンドNAT」と呼びます。また、公共インターネットがプライベートLAN内のサーバーにアクセスできるようにします。これを「ポートフォワード」と呼びます。

デフォルトでは、OPNSenseのアウトバウンドNATは有効になっています。ファイアウォールを正しく構成している場合、プライベートLANはすでにOPNSense WANインターフェースを介してインターネット接続を持っています。プライベートLANからのすべてのインターネット接続は、OPNSense WAN IPアドレスとして検出されます。

このガイドでは、OPNSenseファイアウォールルーターでNATポートフォワーディングを設定する方法を示します。公共インターネットがプライベートLAN内のサーバーにアクセスできるようにします。公共インターネットからプライベートLAN内のサーバーへのSSHおよびHTTP接続を許可します。

1. 環境設定

このガイドでは、すでにVirtualBoxにOPNSenseがインストールされており、OPNSenseプライベートLAN内でUbuntuサーバーが実行されています。

以下は、OPNSenseファイアウォールルーターとUbuntuサーバーの詳細なネットワーク構成です。

OPNSenseファイアウォールルーター

• LAN IP: 10.5.5.1/24
• WAN IP: 192.168.1.25/24
• DHCP: ON
• DHCP範囲IP: 10.5.5.10-10.5.5.50

Ubuntuサーバー

• インターフェース: eth0
• LAN IP: 10.5.5.11/24

2. Ubuntuサーバーのテスト

まず、Ubuntuサーバーの接続が正しく機能していることを確認するために、そのIPアドレスとネットワークのデフォルトルートを確認します。

Ubuntuサーバーで以下のコマンドを実行します。

ifconfig  
route -n

そして、以下の結果が得られます。

IPアドレスが「 10.5.5.11 」で、デフォルトゲートウェイが「 10.5.5.1 」のUbuntuサーバーです。

次に、以下のpingコマンドを使用してUbuntuサーバーのインターネット接続をテストします。

ping -c3 10.5.5.1  
ping -c3 howtoforge.com

以下が結果です。

プライベートLAN内のUbuntuサーバーは、OPNSenseファイアウォールルーターを介してインターネット接続を持っています。

3. SSHサービス用のNATポートフォワーディングを作成

このステップでは、UbuntuサーバーへのSSH接続のためのNATポートフォワーディングを作成します。

ルートユーザーとパスワードでOPNSenseのWeb管理ダッシュボードにログインします。

https://10.5.5.1:8443/

注意:

ポート「 8443 」を自分のポートに変更してください。これはOPNSense管理ダッシュボードのカスタムポートです。

次に、WANインターフェースのポート22でNATポートフォワーディングを作成します。ポート22のWAN IPアドレスへのすべての着信接続は、プライベートLAN IPアドレス「10.5.5.11」のポート22にリダイレクトされます。

左側のメニューで「 Firewall > NAT > Port Forward 」をクリックします。

次に、「 Add 」ボタンをクリックして新しいNATポートフォワーディングルールを追加します。

次に、SSHサービスのためのNATポートフォワーディング構成を以下のように作成します。

Interface: WAN  
TCP/IP Version: IPv4  
Protocol: TCP  
  
Destination: WAN Address  
Destination Port Range: SSH  
  
Redirect target IP: 10.5.5.11  
Redirect target Port: SSH  
  
Description: NAT SSH to Ubuntu Server

次に、下部の「 Save 」ボタンをクリックすると、ポートフォワードページにリダイレクトされます。「 Apply Changes 」ボタンをクリックして新しい構成を適用します。SSHアクセスのためのUbuntuサーバーへのNATポートフォワーディングが作成され、適用されました。

次に、以下のsshコマンドを使用してOPNSense WAN IPアドレスを介してUbuntuサーバーにアクセスしてみます。

ssh [email protected]  
Type Your Password:

OPNSense NATポートフォワーディングを介してプライベートLANのUbuntuサーバーにログインします。

ifconfigコマンドを使用してサーバーをテストし、上記と同じ結果が得られます（セクション1を参照）。

ifconfig  
route -n

UbuntuサーバーへのSSHサービスのためのNATポートフォワーディングが作成されました。ネットワークの外部からUbuntuサーバーに接続できます。

4. HTTPサービス用のNATポートフォワーディングを作成

HTTPサービスのためのNATルールを作成する前に、UbuntuサーバーにNginxウェブサーバーをインストールしましょう。

sudo apt install nginx -y

インストールが完了したら、サイトルートディレクトリ「/var/www/html」に移動し、新しいカスタム「index.html」ページを作成します。

cd /var/www/html  
echo "
Ubuntu Server - NAT Port Forwarding to HTTP Service
" > index.html

その後、OPNSense管理ダッシュボードに戻ります。

左側の「 Firewall > NAT > Port Forward 」メニューをクリックします。

次に、「 Add 」ボタンをクリックして新しいNATポートフォワーディングルールを追加します。

次に、HTTPサービスのためのNATポートフォワーディング構成を以下のように作成します。

Interface: WAN  
TCP/IP Version: IPv4  
Protocol: TCP  
  
Destination: WAN Address  
Destination Port Range: HTTP  
  
Redirect target IP: 10.5.5.11  
Redirect target port: HTTP  
  
Description: NAT HTTP to Ubuntu Server**

次に、下部の「 Save 」ボタンをクリックすると、ポートフォワードページにリダイレクトされます。「 Apply Changes 」ボタンをクリックして変更を適用します。HTTPサービスのためのNATポートフォワーディングが追加されました。

次に、ウェブブラウザを開き、OPNSense WAN IPアドレスを入力します。

http://192.168.1.25/

そして、以下の結果が得られます。

その結果、プライベートネットワーク上のNginx HTTPウェブサーバーがOPNSenseファイアウォールルーターを介して外部からアクセス可能です。

これで、OPNSenseファイアウォールルーターを介してアプリケーションのための別のNATポートフォワーディングを設定してみてください。

参考

• https://wiki.opnsense.org/