OPNsense端口转发设置

2020-7-29 15:07

341

OPNsense

533 字

3 分钟

在OPNsense中，有时我们需要通过外网访问内部的服务器，或进行SSH通信，这就要用到防火墙的端口转发功能。下面以从外网SSH内部主机来进行示例，要访问的内部主机IP：192.168.100.100，通过WAN1接口进行访问。

登录OPNsense的管理界面，导航到防火墙>NAT>端口转发页面，点击右上角的添加按钮，添加一条新的端口转发条目。

填写相关字段内容：按下图所示。

TCP / IP版本：IPv4
协议：TCP
源：any
源端口范围：any
目标：WAN1
目标端口范围：SSH
重定向目标IP：192.168.100.100
重定向目标端口：SSH
其他选项默认

填写完成后，单击页面底部的“保存 ”，然后单击“应用更改”。如下图所示：

单击“应用更改”后，端口转发规则生效，通过WAN1接口地址的SSH流量将定向到设置的目标地址IP：192.168.100.100。查看WAN1接口的防火墙规则，也可以发现自动添加了端口转发的规则。

其他的端口转发可以参照设置，目标端口与重定向目标端口可以不一致，如可以把目标端口设为8000，重定向目标端口设为80，在外网访问8000端口，自动转到到设置的目标主机80端口上。如果从内部网络通过外网IP来访问内部服务器，要把NAT回流选为启用。

后记：新版本中，如果只在端口转发条目上启用回流，还是无法从内部网络通过外网IP访问内部服务器，经测试，还需要在防火墙>高级>设置处，选中端口转发回流设置选项才能才能生效。

端口转发

菜鸟 qq365114543

4 年前
2020-8-20 14:49:27

大神，请问下opnsense如何设置防火墙满足以下要求：
1.我的服务器使用udp接收数据，不会回应客户端发过来了的数据，只收不回。
2.指定端口的UDP数据包在WAN口上只能进，不能出去。类似于iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT这种在进口上允许出去的链接能通过input表，而我这个要求是output上不允许已经进来的数据包再通过output出去
- 鉄血男儿
  博主
  菜鸟 qq365114543
  
  4 年前
  2020-8-23 9:49:14
  
  你可以去研究一下opnsense的防火墙规则策略的设置方法，针对特定接口、特定协议、特定方向进行设置。
霍霍哈一

4 年前
2020-9-11 9:42:50

大神，请问下我端口转发是通过域名做的映射，ddns绑定的是外网那个接口，外网接口又是拨号接口，端口转发可以实现我从外网访问域名跳转到内网服务器，但是从内网访问域名实现不了，nat回流也开了，看了下数据流方向可以出去就是回不来，请教下该如何解决呢
鉄血男儿
博主

4 年前
2020-9-15 11:15:05

你把防火墙的端口转发、回流规则设为第一条试一试。
- 霍霍哈一
  
  鉄血男儿
  
  4 年前
  2020-9-15 16:13:14
  
  我的防火墙目前只有一条防火墙NAT规则，这条规则我选择了回流。但依然无法在内网里去访问映射的地址。
- - 霍霍哈一
    
    霍霍哈一
    
    4 年前
    2020-9-16 13:53:43
    
    大神，经过昨天测试内网pc在同一vlan，我们做的映射可以在内网访问公网ip跳转到映射的地址，然后使用不同vlan就不能通过内网pc访问公网ip做的映射，但是他们两种模式都可以通过外网访问！麻烦请教一下！
  - - 鉄血男儿
      博主
      霍霍哈一
      
      4 年前
      2020-9-24 8:43:43
      
      回流只适用于指定的接口。其他接口需要手动创建出站NAT规则，以便将回复数据包通过路由器回传。
    - - sparke
        
        鉄血男儿
        
        3 年前
        2021-8-28 1:28:55
        
        大佬，能具体写一篇怎么配置吗？我也有相同困扰，也是多个vlan无法回流，虽然可以用dns解决但是还是想了解一下怎么配置，谢谢了。
lion

4 年前
2020-9-16 12:54:33

大神我想问一下我是静态ips 电信给了我多个IP
例如111.111.111.111 我拿来做通讯ip
222.222.222.222 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址222.222.222.222 端口80 IP192.168.1.100 端口80
333.333.333.333 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址333.333.333.333 端口80 IP192.168.1.200 端口80
333.333.333.333 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址:WAN地址端口80 IP192.168.1.200 端口80
开始都能访问过一会儿只有WAN地址能访问 222跟333都访问不了是什么问题
lion

4 年前
2020-9-16 12:56:09

大神我想问一下我是静态ips 电信给了我多个IP
例如111.111.111.111 我拿来做通讯ip
222.222.222.222 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址222.222.222.222 端口80 IP192.168.1.100 端口80
333.333.333.333 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址333.333.333.333 端口80 IP192.168.1.200 端口80
111.111.111.111 在NAT端口里设置
接口 WAN 协议TCP 地址* 端口* 地址:WAN地址端口80 IP192.168.1.200 端口80
开始都能访问过一会儿只有WAN地址能访问 222跟333都访问不了是什么问题
鉄血男儿
博主

4 年前
2020-9-24 8:39:17

多个静态IP，且是同一网关的，可以用1:1NAT来设置，可以搜一下博客相关文章：https://pfchina.org/?p=265
Aitkots

3 年前
2021-6-20 21:38:41

大神我想问一下，因为opnsense是pppoe拨号了，所以无法访问光猫的地址段（192.168.3.1/24），应该怎么给wan口附加一个IP地址（192.168.3.2/24），让lan内部的设备可以用IP地址访问光猫的web界面啊？
- 鉄血男兒
  博主
  Aitkots
  
  3 年前
  2021-6-21 16:27:10
  
  没办法在OPNSENSE中添加附加IP地址。光猫不是需要经常设置，没必要添加，需要设置的时候，改一下线路也不复杂。在NAT后面访问光猫WEB界面，根据不同的光猫，有一些不同方法，比如我的光猫有多个接口，只需要将接口划分到同一VLAN，然后添加一条网线到交换机上，要访问光猫，改一个光猫同网段的地址就可以。
- - Aitkots
    
    鉄血男兒
    
    3 年前
    2021-6-21 21:21:50
    
    原来如此，谢谢大神~
    还有一个问题，本来我想是定时重启pppoe拨号来获取新的地址的，然后只找到了定时重启接口这么个选项，然后我就设置了4点重启接口，但是由于我开了入侵检测（wan+lan），wan是pppoe，lan只DHCP了一个地址且是固定地址，经过测试发现接口重启后，虽然pppoe是重新拨号了，但是有个奇怪的现象，就是“Suricata”进程会把4个核心的2个跑满，进程占用cpu到了200%，必须重启入侵检测服务（有时候重启服务都不管用），请问这个只能重启系统了么？
  - - 鉄血男兒
      博主
      Aitkots
      
      3 年前
      2021-6-23 10:20:00
      
      这是系统的BUG，现在没其他办法解决，只能重启一下服务