pfSense에서 로컬 장치 용 NAT - 무엇이 없습니까?

1

나이 들고 기이 한 1980 년대 장치 (나이를 먹은 초기 컨트롤러의 일부입니다)가 있습니다.

하드 코딩 된 주소가 192.168.1.100이고 서브넷이 192.168.1.100/24 ​​일 것으로 예상되는데 아마도 그 서브넷에 속하지 않는 한 실제로 응답하지 않습니다. 인터페이스 192.168.1.1/24가있는 pfSense 라우터의 OPT1 NIC에 연결되어 있습니다.

내가 뭘하고 싶은지 라우터에 NAT 규칙이나 VIP의 일종의 설정, 내 바탕 화면에 직접 말할 수있게됩니다. 내 데스크탑 IP는 192.168.3.2이고 LAN NIC의 인터페이스는 192.168.3.1/24입니다. 예를 들어 다음 중 하나를 설정합니다.

  1. 옵션 1 - LAN 인터페이스에서 source = 192.168.3.2 dest = 192.168.1.100으로 수신 된 패킷은 OPT1에서 다음과 같이 전달됩니다. 평소와 같았지만, 패킷이 NATed되어 소스 = 192.168.1.1 (OPT1의 IP) dest = 192.168.1.100 - 장치에서 오는 것으로 "인식"합니다. 필요한 서브넷. 그 답은 다음 라우터에서 선택됩니다. OPT1 및 LAN에서 192.168.3.2로 다시 전달됨
  2. 옵션 2 - 가상 LAN IP dest = 192.168.3.100으로 전송되는 LAN 인터페이스의 패킷은 라우터에 의해 받아 들여집니다. 장면 '은 OPT1에서 패킷을 수정하여 전달합니다. 원본 = 192.168.1.1 (OPT1의 IP) dest = 192.168.1.100 - 그래서 장치 "필요한 서브넷에서 오는 것으로 간주합니다." 그 대답은 다음과 같다. OPT1에서 라우터에 의해 집어 들고 LAN을 통해 192.168.1.100의 소스가 192.168.3.100으로 다시 매핑되므로 데스크톱에서 수신 한 기기의 기기에서 온 것 같습니다. LAN이 아니라 외부.

두 가지 옵션의 차이는 첫 번째 패킷이 원래의 패킷을 비 LAN IP로 보내고 라우터가 OPT1에서 패킷을 전달할 때 원본을 수정한다는 것입니다. 두 번째 단계에서는 원래 패킷이 대신 LAN상의 가상 IP로 보내지며 라우터는 전달하기 전에 원본과 목적지를 모두 수정합니다.

이 두 가지 모두 pfSense가 가상 IP 및 기타 NAT 옵션을 사용하는 것과 거의 동일하므로이 작업이 어렵지 않다고 확신합니다. 하지만 이러한 작업을 할 수없는 것 같습니다. NAT는 꽤 복잡한 영역입니다!

routing  lan  nat  pfsense  pf 
Stilez
소스

답변:

1

대답을 찾았습니다. 이 솔루션은 아웃 바운드 NAT라고하며, 아웃 바운드 NAT는 소스 IP 또는 패킷, 목적지 IP가 아닌 (더 일반적인 경우).

불행히도 설명서는 다소 모호하며 아웃 바운드 NAT에서 쉽게 오해됩니다. 그래서 이것이 제가 찾은 답입니다.

나는 NAT가 아웃 바운드 (즉, 인터페이스를 통해 라우터에 들어가는) 패킷에 적용된다고 가정했지만 실제로 아웃 바운드 일 때 패킷에 적용됩니다. ...에서 라우터, 나가는 인터페이스.

  1. 나는 "IP 별명"유형의 가상 IP를 설정했다. (그러나 아마도 다른 유형도 마찬가지로 효과가 있었을 것이다.) 내가 본 패킷을 원래처럼 보였던 IP (이 예제에서 192.168.1.0/24 범위의 모든 것 - 예 : 192.168.1.5). IP 별칭은 인터페이스에 있어야합니다. 인터페이스를 사용했습니다. 휴가 라우터 (이 예에서는 OPT1)가 라우터에 도착한 라우터가 아닙니다.

  2. 나는 하이브리드 NAT (Manual / AON NAT가 또한 작동했을 것입니다.)를 활성화 한 다음 source = any (또는 패킷이 실제로 왔던 IP 범위)와 dest (목적지 IP)를 사용하여 동일한 인터페이스 (OPT1)에 아웃 바운드 NAT 룰을 추가했습니다. 그 서브넷 또는 뭐든간에 (나는 192.168.1.0/24를 사용했다.) 그런 다음 드롭 다운 상자에서 1 단계에서 입력 한 가상 IP를 선택하여 "변환 주소"를 설정합니다.

이것은 내가 원하는 것을 해낸다. 대상 IP로 전송 된 패킷은 LAN에서 이동하며 NAT 규칙의 인터페이스 인 OPT1에서 나가면 NAT에 의해 선택됩니다. 패킷의 src가 "any"와 일치하고 해당 dest가 NAT 규칙 (192.168.1.0/24)에 입력 된 값과 일치하므로 필요에 따라 원본이 OPT1을 통해 전송되기 전에 192.168.1.5로 변환됩니다.

패킷 캡처가이를 확인합니다. 첫 번째 게시물에서 설명한대로 ping을 실행하면 OPT1 인터페이스의 패킷 캡처는 192.168.3.2에서 ping 및 응답을 표시합니다. & gt; 192.168.1.100이지만, OPT2 인터페이스의 패킷 캡처는 192.168.1.5에서 ping 및 응답을 표시합니다. 원하는대로 192.168.1.100.

이것은 내 장치뿐만 아니라 패킷이 다른 장치와 동일한 서브넷에서 나오는 것처럼 보이는 다른 상황에서도 유용합니다.

Stilez
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.