pfsense系列之四 网络地址转换

NAT（Net Address Translation） 网络地址转换总体分为两类

源地址转换

目标地址转换

源地址转换主要出现在局域网电脑访问公网服务器的情形当中。因为私网地址无法在互联网上传播，所以连接内外网的防火墙或者路由器需要把IP报文中属于私网地址的源地址转换为公网IP(这个公网ip是WAN口地址或者地址池的地址)后转发出去。

在pfsense中，源地址转换称为 outbound NAT ,默认的outbound NAT配置是自动将私网IP转换为WAN 口IP。

目标地址转换主要用户公网电脑访问内网服务器的情形，这时连接内外网的防火墙或者路由器需要将IP报文的目标IP由公网IP转换为内网服务器的私网IP.

在pfsense中，目标地址转换称为 inbound NAT。主要包括FortForward和1:1 NAT

默认的inbound NAT配置为空，需要根据需求配置。

实验1 PC1 访问Server http 80端口

思路分析：

1、PC1 IP是192.168.10.10/24，Server IP是2.2.2.10/24 ,因为pfsense WAN默认拒绝私网IP，所以需要作源地址转换.

2、在入站的LAN口配置安全规则，允许192.168.10.10 访问2.2.2.10的80端口

配置步骤

1、对于outbound NAT ,pfsense默认配置是自动将私网ip转换为WAN 口IP,所以步骤1省略

2、 菜单Firewall--Rules,点击右下 Add

如图所示

源地址选择单个主机，地址是192.168.10.10

目标地址选择单个主机，地址是2.2.2.10，目标端口80

点击 Save 保存

点击 Apply Change应用规则

验证结果

pc1 显示已连接到端口

Server查看端口连接，显示1.1.1.1 的60218端口连接到了本地的80端口

查看pfsense状态表，表明防火墙已经完成了源地址和源端口的转换

实验2 端口转发

Server 访问 DMZ 接口PC3的80端口

配置思路：1、配置目标地址转换，将1.1.1.1 的8080端口映射到192.168.20.10 的 80端口

2、在数据包的入站接口 WAN 口配置安全规则

主菜单Firewall--NAT，定位到Port Forward,点击右下角Add

点击save保存

点击 Apply Change 使规则生效

查看端口转发规则

查看WAN口安全规则

验证

查看Server

查看pfsense 状态表， 显示 1.1.1.1的8080端口已转换为内网192.168.20.10的80端口

总结：对于pfsense ，无论是源端口转换还是目标端口转换。配置思路是首先配置NAT转换规则，然后在数据包首包的入站接口配置安全规则。