Wenn es um kostenlose und einfach gestrickte Firewalls geht, fällt den meisten wohl als erster Name pfSense ein. Um alle Ports von einer öffentlichen IP-Adresse auf einen Server im internen Netzwerk weiterzuleiten, kann bei pfSense die Funktion 1:1-NAT eingesetzt werden.

Schritt 1: Zusätzliche IP-Adresse hinzufügen

In diesem Beispiel hat der Kunde vom Internet-Provider zwei statische IP-Adressen zugewiesen bekommen. Über die sekundäre IP-Adresse soll ein Anwendungsserver verfügbar gemacht und über die primäre jeglicher anderer Datenverkehr abgewickelt werden, der von anderen sich im internen Netzwerk befindlichen Geräte erzeugt wird.

  1. Melde dich im Webinterface der pfSense an.
  2. Klicke unter Firewall auf Virtual IPs.
  3. Unten rechts klicke auf das „*+“-Symbol.
  4. Als Type muss “IP Alias” gewählt werden, zusätzlich das richtige WAN-Interface der Firewall.
  5. Gebe bei IP-Adress(es) die zusätzliche IP-Adresse des ISPs ein mit dem dazugehörigen Subnetz.
  6. Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.

Schritt 2: Das 1:1-NAT erstellen

Bei NAT (Network Address Translation) geht es darum, zwischen öffentlichen (routbaren IP-Adressen) und privaten, nicht routbaren IP-Adressen zu übersetzen. Die 1:1-NAT Regel erlaubt es, alle Ports auf die Zieladresse im internen Netzwerk weiterzuleiten.

  1. Klicke unter Firewall auf NAT.
  2. Wechsel zur Registerkarte 1:1 und klicke auf das „*+“-Symbol.
  3. Als External subnet IP muss die in Schritt 1 erstellte virtuelle IP-Adresse ausgewählt werden.
  4. Bei Internal IP ist die IP-Adresse des Servers aus dem internen Netzwerk einzutragen.
  5. Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.

Schritt 3: Firewall-Regel für das 1:1-NAT hinzufügen

Wie es bei einer Firewall üblich ist, muss noch eine Regel angelegt werden, ohne die das 1:1-NAT nicht funktioniert.

  1. Klicke unter Firewall auf Rules.
  2. Wechsel zur Registerkarte WAN und klicke auf das „*+“-Symbol.
  3. Bei Protocol ist “any” auszuwählen, da im Beispiel keine Filterung auf Basis von Protokollen durchgeführt werden soll.
  4. Bei Destination ist für den Type Single host or alias zu wählen. Ebenfalls bei Destination ist für address die IP-Adresse des Servers aus dem internen Netzwerk einzugeben.
  5. Um die Änderungen abzuspeichern, klicke abschließend auf Save und Apply changes.

Wenn du mehr über 1:1-NAT erfahren möchtest, kannst du dir diesen Artikel der Firma WatchGuard durchlesen: 1-to-1 NAT Example