NAT source rewrite from External sources (WAN) to (LAN) interface IP address

  • I'm trying to figure out how to rewrite the SRC IP of external clients hitting my internal Apache webserver to the LAN interface IP address of the firewall.

    1.   _______
                                                                          ||            ||
                                                         HTTP request to =
                                                                 External IP of client:

    WAN IP
              _____________                                                                                                                                                             _____________                                    
              | pfsense 2.0.1   |               3.    Rewritten SRC IP request from the firewall                                                                       | Apache             |
              |                        |            –-------------------------------------------------------------------------                                                                   |        Web          |
              |                        |              src ip dst IP dst port 80 ->                                                                |    Server           |
              |                        |             ---------------------------------------------------------------------------                                                                  |                        |
              | ____________ |                                                                                                                                                            |  |
                  LAN IP                                                                                                                                                                       _____________

    1. Packet requests comes in to (WAN Port on pfsense) on port 80 from an External client of

    2. Rewrite External SRC IP to the LAN IP Address of the firewall   which is

    3. Send that request to the Web Server of  with the SRC IP of instead of coming from


  • This looks like the iptables command (Reverse NAT) that I would use, but I don't know how to do that in the GUI of pfsense.

    iptables -t nat -A PREROUTING -i eth1 -j DNAT -d –to

  • Rebel Alliance Developer Netgate

    • Switch to manual outbound NAT (Firewall > NAT, outbound tab)
    • Add a rule for the LAN interface, source of ANY, destination of, translation = Interface address.

  • That worked like a charm!


  • @shon:

    I was able to accomplish this but without having to select the "Manual Outbound NAT rule generation".  The rule was good enough to do the job.


Log in to reply