NAT или преобразование сетевых адресов — это процесс переназначения одного пространства IP-адресов в другое путем изменения информации о сетевой адресации в пакетах заголовка IP. NAT позволяет локальной сети (LAN) использовать один набор IP-адресов для внутреннего трафика и второй набор адресов для внешнего трафика.

В обычном сценарии NAT позволяет частной локальной сети получить доступ к публичному интернету. Это называется ‘Исходящий NAT’. И позволяет публичному интернету получить доступ к серверу внутри частной локальной сети. Это называется ‘Переадресация порта’.

По умолчанию исходящий NAT на OPNSense включен. Если вы правильно настраиваете свой брандмауэр, частная локальная сеть уже имеет подключение к интернету через интерфейс WAN OPNSense. Все исходящие интернет-соединения из частной локальной сети будут определяться как IP-адрес WAN OPNSense.

Этот гид покажет вам, как настроить NAT переадресацию портов на маршрутизаторе брандмауэра OPNSense. Мы позволим публичному интернету получить доступ к серверу внутри частной локальной сети. Разрешим SSH и HTTP соединения из публичного интернета к серверу в частной локальной сети.

1. Конфигурация окружения

Для этого руководства у нас уже установлен OPNSense на VirtualBox и работает сервер Ubuntu внутри частной локальной сети OPNSense.

Ниже приведены подробные сетевые конфигурации как для маршрутизатора брандмауэра OPNSense, так и для сервера Ubuntu.

Маршрутизатор брандмауэра OPNSense

• LAN IP: 10.5.5.1/24
• WAN IP: 192.168.1.25/24
• DHCP: ВКЛ
• Диапазон IP DHCP: 10.5.5.10-10.5.5.50

Сервер Ubuntu

• Интерфейс: eth0
• LAN IP: 10.5.5.11/24

2. Тестирование сервера Ubuntu

Сначала мы убедимся, что соединение на сервере Ubuntu работает правильно, проверив его IP-адрес и маршрут по умолчанию сети.

Запустите следующую команду на сервере Ubuntu.

ifconfig  
route -n

И вы получите результат, как ниже.

Сервер Ubuntu с IP-адресом ‘ 10.5.5.11 ‘, и шлюзом по умолчанию ‘ 10.5.5.1 ‘.

Далее протестируйте интернет-соединение на сервере Ubuntu, используя команду ping ниже.

ping -c3 10.5.5.1  
ping -c3 howtoforge.com

Ниже приведен результат.

Сервер Ubuntu в частной локальной сети имеет подключение к интернету через маршрутизатор брандмауэра OPNSense.

3. Создание NAT переадресации портов для SSH-сервиса

Этот шаг создаст NAT переадресацию портов для SSH-соединения с сервером Ubuntu.

Войдите в веб-админку OPNSense с вашим пользователем root и паролем.

https://10.5.5.1:8443/

Примечание:

Измените порт ‘ 8443 ‘ на ваш собственный порт, так как это пользовательский порт для панели администратора OPNSense.

Далее мы создадим NAT переадресацию портов на интерфейсе WAN для порта 22, и любое входящее соединение на IP-адрес WAN на порту 22 будет перенаправлено на IP-адрес частной локальной сети ‘10.5.5.11’ на порту 22.

Слева нажмите меню ‘ Firewall > NAT > Port Forward ‘.

Теперь нажмите кнопку ‘ Add ‘, чтобы добавить новое правило NAT переадресации портов.

Теперь создайте конфигурацию NAT переадресации портов для SSH-сервиса, как ниже.

Interface: WAN  
TCP/IP Version: IPv4  
Protocol: TCP  
  
Destination: WAN Address  
Destination Port Range: SSH  
  
Redirect target IP: 10.5.5.11  
Redirect target Port: SSH  
  
Description: NAT SSH to Ubuntu Server

Теперь нажмите кнопку ‘ Save ‘ внизу, и вы будете перенаправлены на страницу Port Forward. Нажмите кнопку ‘ Apply Changes ‘, чтобы применить новую конфигурацию. NAT переадресация портов для SSH-доступа к серверу Ubuntu была создана и применена.

Далее мы попробуем получить доступ к серверу Ubuntu через IP-адрес WAN OPNSense, используя команду ssh ниже.

ssh [email protected]  
Введите ваш пароль:

Вы войдете на сервер Ubuntu в частной локальной сети через NAT переадресацию портов OPNSense.

Проверьте сервер, используя команду ifconfig, и вы получите те же результаты, что и выше (см. раздел 1).

ifconfig  
route -n

NAT переадресация портов для SSH-сервиса к серверу Ubuntu была создана. Вы можете подключиться к серверу Ubuntu из вне сети.

4. Создание NAT переадресации портов для HTTP-сервиса

Перед созданием NAT-правила для HTTP-сервиса давайте установим веб-сервер Nginx на сервере Ubuntu.

sudo apt install nginx -y

После завершения установки перейдите в корневой каталог сайта ‘/var/www/html’ и создайте новую пользовательскую страницу ‘index.html’.

cd /var/www/html  
echo "
Сервер Ubuntu - NAT переадресация портов к HTTP-сервису
" > index.html

После этого вернитесь в панель управления OPNSense.

Нажмите меню ‘ Firewall > NAT > Port Forward ‘ слева.

Теперь нажмите кнопку ‘ Add ‘, чтобы добавить новое правило NAT переадресации портов.

Теперь создайте конфигурацию NAT переадресации портов для HTTP-сервиса, как ниже.

Interface: WAN  
TCP/IP Version: IPv4  
Protocol: TCP  
  
Destination: WAN Address  
Destination Port Range: HTTP  
  
Redirect target IP: 10.5.5.11  
Redirect target port: HTTP  
  
Description: NAT HTTP to Ubuntu Server**

Теперь нажмите кнопку ‘ Save ‘ внизу страницы, и вы будете перенаправлены на страницу Port Forward. Нажмите кнопку ‘ Apply Changes ‘, чтобы применить изменения. NAT переадресация портов для HTTP-сервиса была добавлена.

Далее откройте ваш веб-браузер и введите IP-адрес WAN OPNSense.

http://192.168.1.25/

И вы получите результат, как ниже.

В результате веб-сервер Nginx HTTP в частной сети доступен извне через маршрутизатор брандмауэра OPNSense.

Теперь вы можете попробовать настроить другую NAT переадресацию портов для вашего приложения через маршрутизатор брандмауэра OPNSense.

Ссылки

• https://wiki.opnsense.org/