Verständnis NAT (Inbound/Outbound Zusammenhang)

[Xzeer]

Guten Morgen,

mag sein, dass ich gleich eine vollkommen dämliche Frage stelle. Trotzdem grübel ich drüber nach und bin mir nicht ganz sicher. Deshalb frage ich doch nach.

Ich habe ein privates Netz hinter einer Firewall (pfSense). Alle ausgehenden Verbindungen werden per Outbound NAT auf die öffentliche Adresse der Firewall gemappt, sodass alle Rechner ins Internet kommen.

Ich habe noch 3 weitere öffentliche, virtuelle IPs auf der Firewall konfiguriert. Einer der Rechner hinter der Firewall stellt einen Mailserver bereit. Die nötigen Ports leite ich von einer der 3 zusätzlichen IPs auf die Maschine per Port Forward (Inbound NAT) weiter. Für diese zusätzliche IP habe ich passende DNS und RDNS Einträge gesetzt.

Was ich mich frage: Muss ich eine zusätzliche Outbound NAT Regel für den Mailserver erstellen, damit dieser auf die zusätzliche IP 1 gemappt wird und nicht wie alle anderen auf die IP der Firewall oder reicht bereits das konfigurierte Inbound NAT, damit die Antwort mit der richtigen IP versendet wird?

Ich würde eigentlich sagen: Ja, das müsste so sein. Bin mir aber eben nicht sicher und möchte mich vergewissern.

 

[fastforward]

Grundsätzlich musst Du das theoretisch machen. Den sonst geht Dein Mailserver über die NAT Adresse der andern PCs raus.
Diese solltest Du dann in der Rangordnung oben an der andern NAT Regel anstellen.

Leider ist mir PFsense nicht geläufig um Dir die Frage auf Produktebene zu Beantworten.

Was spricht gegen Ausprobieren ? Du hast ja alles in der Hand.

LG Alex

 

[Xzeer]

Die entsprechende Outbound NAT Regel in pfSense zu erstellen ist kein Problem. Das hat gut funktioniert und läuft auch ohne Probleme. Meine Frage war eher technischer Natur, ob ich tatsächlich eine Outbound NAT Regel anlegen muss.

Von meinem Verständnis her müsste eine Inbound NAT Regel ja eigentlich reichen. Beispiel:

Ein Client baut eine TCP Verbindung zu der zusätzlichen IP 1 auf. Per Inbound NAT geht die Anfrage an den Mailserver und wird von diesem beantwortet. Die Antwort erreicht die Firewall und müsste (von meinem Verständnis her) jetzt ja eigentlich automatisch zurück auf die zusätzliche IP 1 gemappt werden. Also ohne explizite Outbound NAT Regel.

 

[elias5000]

Inbound wird kein NAT gemacht. Sonst würde das gesamte Internet für deine internen Systeme mit der IP deines Routers erscheinen. Das ist aber nicht der Fall und auch nicht erwünscht. Die Source-IPs des eingehenden Verbindungen sind ja routable (im Gegensatz zu den Source-IPs der abgehenden).

Deshalb würde ohne die abgehende SNAT-Regel auch für Verbindungen, die über eine andere als die Default-IP herein gekommen sind, die Default-IP als Outbound-Route genommen.