# OPNsense Port Forwarding: Dienste kontrolliert publizieren
TL;DR / Management Summary Port Forwarding (Destination NAT) ist die Methode, um einen Dienst, der auf einer privaten IP im LAN läuft, über die öffentliche WAN-IP der Firewall erreichbar zu machen. Ein Senior Admin nutzt Port-Forwarding nur dort, wo es unbedingt nötig ist (z.B. HTTPS für Webserver) und schützt diese Zugänge durch Source-IP-Einschränkungen und Rate Limiting. Für administrative Zugänge (RDP, SSH) ist Port-Forwarding ein absolutes No-Go; hier nutzen wir stattdessen VPN (Artikel 567).
# 1. Einführung & Logik
Wie das Paket den Weg findet.
Wenn ein Paket am WAN-Port eintrifft, prüft OPNsense die NAT-Tabelle.
- Match: Das Paket wird umadressiert (Ziel-IP/Port geändert).
- Firewall-Prüfung: Das Paket muss nun die Firewall-Regel am WAN passieren.
- Zustellung: Das Paket wird an den internen Server weitergeleitet.
# 2. Einrichtung in der Praxis
Der Standard-Workflow.
Firewall -> NAT -> Port Forward.
# Beispiel: Webserver (Port 443)
- Interface:
WAN. - TCP/IP Version:
IPv4. - Protocol:
TCP. - Destination:
WAN address. - Destination Port Range:
HTTPSbisHTTPS. - Redirect target IP:
10.0.1.50(Ihr Webserver). - Redirect target port:
HTTPS. - Filter rule association:
Add associated filter rule(Erstellt automatisch die nötige Regel am WAN-Interface).
# 3. Deep Dive: Sicherheit durch Einschränkung
Die Angriffsfläche minimieren.
Ein offener Port ist eine Einladung für Scanner.
# Source Whitelisting
Wenn der Dienst nur für Partner oder Home-Office-Mitarbeiter mit fester IP gedacht ist:
- Source: Wählen Sie einen Alias (Artikel 555) mit den erlaubten IPs. Alle anderen Anfragen werden von der Firewall verworfen, noch bevor sie den Server erreichen.
# Port Translation (PAT)
Sie können den externen Port tarnen:
- External Port:
4433 - Internal Port:
443 - Vorteil: Verhindert automatisiertes Scannen auf Standard-Ports (Security by Obscurity - nur als Zusatzmaßnahme!).
# 4. Day-2 Operations: NAT Reflection
Interner Zugriff auf die öffentliche IP.
Wenn ein User im LAN die öffentliche URL der Firma aufruft, landet er ohne NAT Reflection (Artikel 559) bei der Firewall-Anmeldung statt am Webserver.
- Aktion: Aktivieren Sie
NAT Reflectionin der Port-Forward-Regel. - Typ:
Pure NAT(Empfohlen).
# 5. Troubleshooting & “War Stories”
Wenn die Pakete im LAN sterben.
# Top 3 Fehlerbilder
-
Symptom: Zugriff von außen geht nicht, aber intern ist der Server erreichbar.
- Ursache: Das Default Gateway am internen Server fehlt oder zeigt auf einen anderen Router.
- Lösung: Der Server muss die Pakete an die OPNsense-IP zurückschicken.
-
Symptom: “Loopback” Zugriff schlägt fehl (NAT Reflection).
- Lösung: Prüfen Sie unter
Firewall -> Settings -> Advanced, ob “Reflection for port forwards” global aktiviert ist.
- Lösung: Prüfen Sie unter
-
Symptom: Port-Scanner zeigt den Port als
Closed.- Ursache: Die “Filter rule association” wurde auf
Nonegestellt und keine manuelle WAN-Regel angelegt.
- Ursache: Die “Filter rule association” wurde auf
# “War Story”: Das “RDP-Loch”
Ein Admin öffnete Port 3389 via Port-Forwarding für den “schnellen Support” am Wochenende. Das Ergebnis: Innerhalb von 2 Stunden war der Server mit Ransomware infiziert. Die Angreifer nutzten einen bekannten Exploit im RDP-Protokoll, der am Patch-Dienstag noch nicht installiert worden war. Lehre: Öffnen Sie niemals Management-Ports direkt via NAT. Nutzen Sie für den Support Quick Assist (Artikel 459) oder WireGuard (Artikel 566). Port-Forwarding ist für Public Services (Web, Mail) gedacht, nicht für die Administration.
# 6. Monitoring & Reporting
Angriffe im Blick.
# Dashboard Analyse
Nutzen Sie das Insight Plugin.
- KPI: Welcher publizierte Port hat die meisten Block-Events? (Ein Zeichen für einen laufenden Angriff).
# 7. Fazit & Empfehlung
Port-Forwarding ist ein scharfes Messer.
- Empfehlung: Nutzen Sie einen Reverse Proxy (HAProxy, Artikel 564) anstatt direktem Port-Forwarding für Webdienste. Dies bietet SSL-Terminierung und Schutz auf Layer 7.
- Sicherheit: Nutzen Sie GeoIP (Artikel 558) in Kombination mit Port-Forwarding, um den Zugriff z.B. nur auf Deutschland zu beschränken.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| NAT Regel | Firewall -> NAT -> Port Forward |
| Filter Regel | Firewall -> Rules -> WAN |
| States prüfen | Diagnostics -> Network -> States |
| Paket-Capture | Diagnostics -> Packet Capture |