Crear Reglas Nats en Opnsense puede llegar a ser una ardua tarea. Puede ser que crees la regla y no te redirija nada o que no se haya puesto alguna configuración bién.
Para gestionar la redirección de puertos en Opensense lo haremos desde el apartado Firewall.
Firewall
El Firewall de opensense esta compuesto de Alias, categorias, Groups, Nat, Rules, Shaper,Settings, Logs Files, y Diagnostic.
Alias
Los alias son listas de redes, hosts o puertos asociadas a un nombre. De esta forma podemos aplicar las mismas reglas a un conjunto concreto con solo utilizar este alias.
Categorías
Las Categorías son utilizadas para organizar grandes cantidades de reglas. Cada vez que añadimos una regla la podemos asignar a una categoría o varias y después poder utilizarla como filtro en la pestaña de de Reglas.
Grupos
Los Grupos sirven para poder juntar diferentes interfaces. Esto permite posteriormente aplicar reglas comunes a este Grupo en la pestaña de Rules.
Nat
Nat es utilizado para separar redes externas de redes internas. Y permitir que equipos internos puedan salir a internat con una sola ip.
Para añadir una regla es practicamente sencillo, nos vamos a Port Forward. y Le damos a add.
Imaginemos que tenemos un servicio que queremos acceder a el desde una red externa(Wan), el servicio que queremos acceder esta en la ip 10.0.0.10 y el puerto de escucha es el 1212.
Para poder acceder desde nuestra Wan tendremos que crear una regla nueva:
INTERFACE > WAN
TCP/IP > IPV4
PROTOCOL > TCP/UDP
DESTINATION > THIS FIREWALL
DST. PORT > (OTHER) 1212 - 1212
REDIRECT IP > 10.0.0.10
RD. PORT > 1212
CATTEGORY > NOMBRE DESCRIPTIVO
FILTER RULE > PASS
:::warning Cuidado: Si tu red Wan es tambien es una red privada, tendrás que añadir una regla outbound en el apartado nat. :::
Outbound
Para poder hacer redireccion de puertos en codiciones tenemos que utilizar Outbound Rules que nos permitan las conexiones hacia fuera una vez se hayan establecido.
INTERFACE > LAN
TCP/IP > IPV4
PROTOCOL > TCP
SOURCE ADDRES > WAN NET
SOURCE PORT > ANY
DESTINATION > LAN NET
DEST. PORT > ANY
TRANSLATION > INTERFACE ADDRESS
Real NAT config
Si tienes problemas con las redirecciones de puertos.
Firewall > settings > Advanced
Probar con las siguientes opciones:
- Reflection for port forwards
- Reflection for 1:1
- Automatic outbound NAT for Reflection
Refs
OPNSense Firewall Rules Explained: https://yewtu.be/watch?v=kYFNa_zpeII
https://forum.opnsense.org/index.php?topic=8783.0 https://www.reddit.com/r/OPNsenseFirewall/comments/aefgaw/port_forwarding_help_needed/ https://forum.opnsense.org/index.php?topic=9199.0 https://forum.opnsense.org/index.php?topic=16783.0 https://forum.opnsense.org/index.php?topic=15563.msg71522#msg71522