NAT: Port Forward oder 1:1 NAT



  • Hallo zusammen,

    bei mir wird demnächst (vielleicht) folgendes Szenario eingesetzt.
    FESTE IP -> PFSENSE -> WEB / MAIL-Server.
    Ist es bei einer festen IP Ratsam mit 1:1 NAT zu arbeiten, oder mit Port Forwarding?
    Bisher habe ich obiges Szenario mit Normalem DSL (wechselnder IP und DYNDNS) und Port Forwarding im Einsatz.

    Im Moment weiss ich nicht, was mir 1:1 NAT bringen könnte, bzw wozu würde man dieses überhaupt einsetzen. Wäre super nett, wenn mir jemand eine Denkhilfe geben würde.
    Meine Interpretation von 1:1 NAT
    Verhält sich bei 1:1 NAT der Rechner den ich mit der internen IP Adresse angeben so, als wäre er direkt am INTERNET angebunden, und nur durch die Firewall (Portfreigaben auf MAIL / WEB usw erfolgt) getrennt. Dann müsste auch keine PORT Forwardingrules mehr eingetragen werden?

    Gruß
    Ingo



  • Hmm … so ohne mehr infos ... das würde ich ohne 1:1 Nat realisieren, da Weiterleitungen für Port 25/80/443 ausreichen würden. Ich weiß jetzt nicht so genau wie Dein Netz ausschaut, von da her kann man auch nicht wirklich mehr sagen. Hier noch was die Doc's verraten:

    http://doc.pfsense.org/index.php/1:1_NAT



  • Mein Gedankengang war das ich einen Server, WEB/MAIL/FTP und noch ein paar andere Dienste ins Netz hänge (Am Interface OPT1) und ich mein LAN am Interface LAN hab.
    Da ich jetzt nicht weiss, was mir einen grösseren Vorteil bietet zwischen 1:1 NAT und PORT Weiterleitung bin ich eben etwas ratlos.

    Im Grunde erfüllen beide Versionen, das ich die Dienste vom Internet aus ansprechen kann, doch weiss ich da nicht, was sinnvoller, bzw sicherer ist? Der Server hat derzeit zwei Netzwerkkarten, wovon eine nur aus der DMZ angebunden ist.

    Ich würde einigen Rechnern im LAN via Firewallregeln auf die DMZ zuzugreifen.

    LG



  • Hallo,

    ganz einfach:

    Bei einem PortForwarding leitest du gezielt einzelne Ports weiter. Das ist das, was du in deinem Szenario machen solltest, die Ports für Mail, FTP etc weiterleiten.

    1 : 1 NAT fragt nicht nach einzelnen Ports, es setzt die komplette externe Portrange von 1 - 65535 auf die interne Port Range um. In diesem Fall würde sich der PC wirklich so verhalten als würde er direkt am Internet hängen.

    Ein 1 : 1 NAT könntest du auch mit einem PortForwarding erreichen, indem du eben die Port Range von 1 - 65535 auf eine einzige interne IP umsetzt.



  • Ok Das hilft mir schon weiter. Wenn ich dann 1:1 NATTE, und auf dem WAN PORT nur die PORTS 80 / 443 weitergebe, dann werden doch die anderen PORTS weiterhin geblockt?
    Wenn das so ist, hab ich es verstanden :-) Danke dann für die zurechtrückung der Gedankengänge ….

    LG



  • Ich verstehe nicht, was du mit "weiterleiten" in diesem Fall meinst. Wenn du damit in deinem Satz die Firewall meinst, dann hast du recht.
    Ansonsten macht dein Satz für mich keinen Sinn. Entweder du PortForwardest alles ( 1 : 1 ) oder du PortForwardest einzelne Ports.
    Eine entsprechende Firewall Regel gehört dazu, egal ob 1 : 1 oder nicht.



  • OK, ich meinte:
    … und auf dem WAN PORT freigebe :-)

    Danke für Deine Hilfe

    LG


Log in to reply