Routing von Public IPs
-
Guten Morgen zusammen,
folgendes Szenario; ich habe eine /28 IP Range zur verfügung. Nun würde ich gerne der PFSense die IP X.X.X.2 geben und diversen Servern dahinter die X.X.X.3-N. Gesagt, getan. Nun möchte ich allerdings das diese Server auch Gebrauch machen von ihrer PublicIP und nicht nur über die PFSense rausfunken mit der X.X.X.2 sonst könnte ich das ganze auch NATen…
Sprich ich möchte das die Pakete von Server A empfangen und gesendet werden mit der X.X.X.3-N, die PFSense soll trotzdem bestimmte Pakete filtern.
Folgendes Setup:
IPS Router (X.X.X.1) ------> PFSense (X.X.X.2) ----> Server A (X.X.X.3) , Server B (X.X.X.4), .... und so weiter....
Mein erster Instinkt war VirtualIP's anlegen und ein 1:1 NAT? Da ich es aber gerne richtig machen würde, frage ich lieber.
Vielen Dank schon mal!
-
Hallo,
Mein erster Instinkt war VirtualIP's anlegen und ein 1:1 NAT? Da ich es aber gerne richtig machen würde, frage ich lieber.
genau so funktioniert es. Ich nutze "CARP" VirtualIP Typ, weil ich zwei pfSense habe. Ohne CARP würde ich "Other" VirtualIP Typ nutzen. Schau hier, was Dir am besten passt: https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
Aus Sicherheitsgrunden mache ich 1:1 NAT fast nie.
P.S. Wir verstehen, dass die Server interne IP-Adressen haben müssen, oder? D.h., die Adressen X.X.X.3, X.X.X.4 werden nur auf der Firewall benutzt. (Ich spreche jetzt nicht darüber, dass die Server von intern trotzdem über die externen IP Adressen erreichbar sein können.)
-
Hallo,
ein Instinkt ist ganz gut. :)
Ich würde dafür allerdings den Typ "IP Alias" empfehlen. Also jede einzelne der IPs des externen Subnetzes als virtuelle IP des Typ "IP Alias" anlegen. Mit NAT 1:1 kannst du dein Vorhaben gleich für das ganze /28-Netz einrichten, allerdings setzt das voraus, dass deine internen IPs eine durchgehender Reihenfolge haben.
Falls nicht, kannst du für jeden internen Server eine separate 1:1 Regel erstellen. Dann eben als Subnetzmaske /32 auswählen.Die Filterregeln für eingehenden Traffic erstellst du dann wie auch sonst am WAN Interface, wobei als Zieladressen die internen IPs anzugeben sind. Eine externe IP ist nur für Services zu verwenden, die auf der pfSense selbst laufen.
Wenn man die Filterregeln vernünftig anlegt, birgt NAT 1:1 auch kein Sicherheitsrisiko. Die Sicherheit sollte ohnehin durch die Filterregeln sichergestellt werden, nicht durch NAT.
Grüße
-
Hey,
erstmal vielen Dank für die Hilfe, nach dem ich heute damit rumprobiert habe muss ich sagen der weg von außen nach innen funktioniert Top.
Ist es über diesen weg auch möglich das die einzelnen Server, z.b. die x.x.x.4 auf internetseiten wie wieistmeineip.de auch als 4 erkannt wird?Selbstverständlich soll das auch für die anderen Server so sein x.x.x.5 soll auch nach außen die .5 haben etc.
schönen Tag wünsche ich noch! (:
-
Ja, natürlich. Das ist ja der Sinn des 1:1 NAT.
Für das ausschließliche Weiterleiten einer externen IP an eine interne ist das Port Forward da. Die ausschließliche Umsetzung einer internen auf eine externe IP macht das Outbound NAT. 1:1 macht beides.