Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] Abarbeitungsrichtung NAT-Regeln
« previous
next »
Print
Pages: [
1
]
Author
Topic: [gelöst] Abarbeitungsrichtung NAT-Regeln (Read 2439 times)
theq86
Sr. Member
Posts: 272
Karma: 37
[gelöst] Abarbeitungsrichtung NAT-Regeln
«
on:
February 09, 2018, 04:08:40 pm »
Nabend.
Wenn ich im Bereich Firewall->Regeln bin habe ich mir schon angewöhnt daran zu denken, dass Regeln nur auf die Pakete angewendet werden, die die Schnittstelle auf dem Weg in die Firewall hinein, aber nicht auf dem Weg hinaus passieren. Eine Regel auf LAN, die Pakete, die von WAN an LAN selbst gehen blockiert, funktioniert also nicht.
Wie sieht die Sache jetzt beim NAT aus?
Wenn ich eine ausgehende NAT Regel (SNAT) an WAN erstelle; Werden dann nur Pakete bearbeitet, die die WAN-Schnittstelle auch WAN-seitig verlassen? Oder muss ich da tatsächlich auf die Reihenfolge von Quelle und Ziel achten?
Wie stellt es sich mit Portfreigaben (DNAT) dar?
«
Last Edit: February 09, 2018, 06:58:34 pm by nasq
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Abarbeitungsrichtung NAT-Regeln
«
Reply #1 on:
February 09, 2018, 05:55:11 pm »
> Werden dann nur Pakete bearbeitet, die die WAN-Schnittstelle auch WAN-seitig verlassen?
Natürlich. Es wird gegen die NAT (rdr) Regel gematcht, ob das Paket umgeschrieben werden muss oder nicht. Die Outbound Regel heißt ja bspw. VON <LAN_NET> nach <any> via WAN. Also schaut man sich das Paket an -> ja würde nach angegebenem Ziel via WAN laufen, ergo umschreiben. Danach werden die Regeln drauf angewendet (NAT > Rules).
Ebenso bei Forwardings oder allem anderen was sich auf NAT bezieht. Es wird ERST geprüft ob umgeschrieben werden muss, dann ggf. umgeschrieben und dann die Regel gematcht. Deshalb muss sich die Regel immer auf das genattete Paket beziehen (was IPs angeht), nicht auf das davor.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] Abarbeitungsrichtung NAT-Regeln