OPNsense Forum

International Forums => German - Deutsch => Topic started by: theq86 on February 09, 2018, 04:08:40 pm

Title: [gelöst] Abarbeitungsrichtung NAT-Regeln
Post by: theq86 on February 09, 2018, 04:08:40 pm

Nabend.

Wenn ich im Bereich Firewall->Regeln bin habe ich mir schon angewöhnt daran zu denken, dass Regeln nur auf die Pakete angewendet werden, die die Schnittstelle auf dem Weg in die Firewall hinein, aber nicht auf dem Weg hinaus passieren. Eine Regel auf LAN, die Pakete, die von WAN an LAN selbst gehen blockiert, funktioniert also nicht.

Wie sieht die Sache jetzt beim NAT aus?

Wenn ich eine ausgehende NAT Regel (SNAT) an WAN erstelle; Werden dann nur Pakete bearbeitet, die die WAN-Schnittstelle auch WAN-seitig verlassen? Oder muss ich da tatsächlich auf die Reihenfolge von Quelle und Ziel achten?

Wie stellt es sich mit Portfreigaben (DNAT) dar?

Title: Re: Abarbeitungsrichtung NAT-Regeln
Post by: JeGr on February 09, 2018, 05:55:11 pm

> Werden dann nur Pakete bearbeitet, die die WAN-Schnittstelle auch WAN-seitig verlassen?

Natürlich. Es wird gegen die NAT (rdr) Regel gematcht, ob das Paket umgeschrieben werden muss oder nicht. Die Outbound Regel heißt ja bspw. VON <LAN_NET> nach <any> via WAN. Also schaut man sich das Paket an -> ja würde nach angegebenem Ziel via WAN laufen, ergo umschreiben. Danach werden die Regeln drauf angewendet (NAT > Rules).

Ebenso bei Forwardings oder allem anderen was sich auf NAT bezieht. Es wird ERST geprüft ob umgeschrieben werden muss, dann ggf. umgeschrieben und dann die Regel gematcht. Deshalb muss sich die Regel immer auf das genattete Paket beziehen (was IPs angeht), nicht auf das davor.