1:1 NAT 将一个外部 IPv4 地址(通常为公共地址)映射到一个内部 IPv4 地址(通常是私有地址)。源自该私有 IPv4 地址的所有流量将通过 1:1 NAT 映射到该条目中定义的公有 IPv4 地址,覆盖出站 NAT 配置。所有在互联网上发往指定公有 IPv4 地址的流量将被转换为私有 IPv4 地址,然后根据 WAN 防火墙规则集进行评估,如果匹配,它将被传递给内部主机。
1:1 NAT 也可以转换整个子网以及单个地址,只要它们的大小相同并且在正确的子网范围对齐即可。
连接上的端口在 1:1 NAT 中保持不变;对于出站连接,将保留本地系统使用的源端口,与在出站 NAT 规则上使用静态端口类似。
1:1 NAT 的风险
如果 WAN 防火墙规则允许通信,则 1:1 NAT 的风险与端口转发大体相同。任何时候规则允许通信,有害的通信可能被允许进入本地网络。如果是通过端口转发,流量受到 NAT 规则和防火墙规则的约束。如果端口转发规则打开了 TCP 端口 80,则 WAN 上的允许所有规则仍然只允许在该内部主机上的 TCP 80。如果使用 1:1 的 NAT 规则,并且在 WAN 上存在允许所有规则,那么该内部主机上的所有内容都可以从 Internet 访问。配置错误会带来潜在的危险,但这通常不应被视为避免使用 1:1 NAT 的理由。在配置防火墙规则时请记住这一点,避免允许任何不需要的东西。
1:1 NAT 配置
- 导航到 防火墙 > 地址转换,1:1 选项卡
- 单击
在列表顶部 添加 一个 1:1 条目 按如下设置配置 1:1 条目:
- 禁用: 控制此 1:1 NAT 条目是否处于活动状态。
- 接口: 1:1 NAT 转换的接口,通常是 WAN 类型的接口。
- 外部子网 IP:内部 IP 地址在进入或离开接口时将被转换到的 IPv4 地址。这通常是接口上的 IPv4 虚拟 IP 地址,或通过接口路由到防火墙的 IP 地址。
- 内部 IP: 防火墙后面的 IPv4 地址将被转换为外部子网 IP 地址。这通常是这个防火墙后面的 IPv4 地址。具有此地址的设备必须直接(附加)或间接(通过静态路由)使用此防火墙作为其网关。在这里指定一个子网掩码将转换匹配子网掩码的整个网络。例如,使用 x.x.x.0/24 会将该子网中的任何内容转换为外部子网中的相应内容。
- 目标: 可选,限制 1:1 NAT 条目的网络限制。当存在值时,1:1 NAT 将只在流量从内部 IP 地址到目的地址出口时,或者从目标地址到外部子网 IP 地址进入防火墙时生效。目标字段支持使用别名。
- 描述: 一个可选的文字说明来解释这个条目的目的。
- NAT 回流:覆盖全局 NAT 回流选项。使用系统默认会尊重全局 NAT 回流设置,启用将始终对此条目执行 NAT 回流,禁用将永远不会对此条目执行 NAT 回流。
- 单击 保存
- 单击 应用更改
单个 IP 地址 1:1 配置示例
在本例中,198.51.100.210 是 WAN 接口上的虚拟 IP 地址。在大多数部署中,这将被工作的公共 IP 地址替代。该映射中的邮件服务器驻留在使用内部 IP 地址 10.3.1.15 的 DMZ 段中。如下图所示。
1:1 NAT 条目
IP 地址范围 1:1 配置示例
1:1 NAT 可以使用 CIDR 范围配置多个公网 IP 地址。在本例中,1:1 NAT 配置为一个 /30 CIDR 范围的 IP。
| 外部 IP | 内部 IP |
|---|---|
| 198.51.100.64/30 | 10.3.1.64/30 |
| 198.51.100.64 | 10.3.1.64 |
| 198.51.100.65 | 10.3.1.65 |
| 198.51.100.66 | 10.3.1.66 |
| 198.51.100.67 | 10.3.1.67 |
内部和外部 IP 地址的最后八位字节不必相同,但是这样做使得它在逻辑上更简单。如下表所示:
| 外部 IP | 内部 IP |
|---|---|
| 198.51.100.64/30 | 10.3.1.200/30 |
| 198.51.100.64 | 10.3.1.200 |
| 198.51.100.65 | 10.3.1.201 |
| 198.51.100.66 | 10.3.1.202 |
| 198.51.100.67 | 10.3.1.203 |
选择最后一个字节匹配的寻址方案使得布局更容易理解并维护。下图为 1:1 NAT 配置为一个 /30 CIDR 范围的 IP。
1:1 NAT 条目 /30 CIDR 范围
WAN IP 上的 1:1 NAT,Linksys 上的“DMZ”
某些消费类路由器(例如来自 Cisco / Linksys 的路由器)具有他们所称的“DMZ”功能,该功能将所有目的地为 WAN IP 地址的端口和协议转发到 LAN 上的系统。实际上,这是 WAN IP 地址和内部系统的 IP 地址之间的 1:1 NAT。然而,在这种情况下,“DMZ”与真实的 DMZ 网络在真正的网络术语中无关。事实上,情况正好相反。真正的 DMZ 中的主机位于远离其他 LAN 主机的孤立网络中,远离 Internet 和 LAN 主机。相比之下,Linksys 中的“DMZ”主机不仅与局域网主机位于同一网络,而且完全暴露在传入流量中,不受保护。
在 pfSense 中,1:1 NAT 可以在 WAN IP 地址上处于活动状态,但要注意,它将使所有在防火墙上运行的服务在外部无法访问。因此,在启用了任何类型的 VPN 的情况下,或者防火墙上的其他本地服务必须可以从外部访问的情况下,1:1 NAT 不能用于 WAN IP 地址。在某些情况下,本地托管服务的端口可以缓解这种限制。
觉得内容不错?我要
