Документация
Документация pfSense - руководства по настройке и администрированию
NAT в pfSense - трансляция сетевых адресов и проброс

NAT в pfSense - трансляция сетевых адресов и проброс

NAT (Network Address Translation) в pfSense обеспечивает трансляцию сетевых адресов между внутренними и внешними сетями. pfSense реализует NAT средствами pf (packet filter) из OpenBSD и поддерживает три основных механизма трансляции: проброс портов (port forward), трансляция один-к-одному (1:1 NAT) и исходящий NAT (outbound NAT). Каждый механизм решает отдельную задачу и применяется на определённом этапе обработки пакета.

Порядок обработки NAT

pfSense обрабатывает правила трансляции в строго определённой последовательности. Понимание этого порядка необходимо для корректной настройки и диагностики.

  1. Проброс портов (Port Forward) - обрабатывается первым. Входящий пакет проверяется на соответствие правилам проброса, и при совпадении адрес назначения заменяется на внутренний IP-адрес целевого хоста. Правила проброса имеют приоритет над 1:1 NAT.
  2. 1:1 NAT - обрабатывается вторым. Если пакет не совпал ни с одним правилом проброса, выполняется проверка таблицы 1:1 NAT. При совпадении адрес назначения транслируется в соответствии с биективным отображением внешнего адреса на внутренний.
  3. Исходящий NAT (Outbound NAT) - обрабатывается при отправке пакета наружу. Адрес источника заменяется на адрес исходящего интерфейса (или на указанный адрес из пула).

Внимание:

Правила проброса портов перехватывают входящий трафик до обработки 1:1 NAT. Если для одного внешнего адреса настроены и проброс порта, и 1:1 NAT, проброс порта получит приоритет для совпавших портов. Остальной трафик обработает 1:1 NAT.

Поведение по умолчанию

После установки pfSense автоматически настраивает исходящий NAT для всех внутренних интерфейсов: трафик, направленный в интернет, транслируется в адрес WAN-интерфейса. Входящий трафик из интернета по умолчанию полностью блокируется - для предоставления доступа к внутренним сервисам необходимо явно создать правило проброса порта или 1:1 NAT.

Содержание раздела

  • Проброс портов - перенаправление входящего трафика на внутренние серверы, связь с правилами файрвола, NAT reflection и продвинутые сценарии
  • 1:1 NAT - биективная трансляция внешнего адреса на внутренний, применение для серверов с выделенным публичным IP
  • Исходящий NAT - управление трансляцией адресов исходящего трафика, ручной и гибридный режимы, статический порт для VPN

Связанные разделы

  • Файрвол pfSense - правила фильтрации, алиасы и управление политикой безопасности
  • Правила файрвола - создание правил, порядок обработки, floating rules
  • VPN в pfSense - настройка VPN-туннелей, требующих корректной конфигурации NAT
Last updated on