OPNsense 中的 NAT — 功能、用例和最佳實踐

Posted on by Rico

一、NAT 是什麼?

NAT(Network Address Translation,網路地址轉換)是一項讓防火牆/路由器能在內部私有 IP 與外部公有 IP 之間做轉換的機制。官方說明指出,當使用者/裝置從內部網路對外進行連線時,NAT 可以替換封包的來源 IP/目的 IP,使封包能正常往返。 docs.opnsense.org

二、NAT 的類型與作用

官方文件中指出了兩大類型:

  • Port Forwarding / Destination NAT (DNAT)
    當外部主機要連入你內部網路(例如:外部瀏覽器連 Web 伺服器),你需要將外部的目的 IP/Port 轉送至內部伺服器。這就是目的轉譯 (DNAT)/Port Forwarding。 docs.opnsense.org
  • Outbound NAT / Source NAT (SNAT)
    當內部裝置向外連線時,其來源 IP(私有 IP)必須被替換為外部可路由的 IP ,否則外部伺服器無法回傳資料。這即為來源轉譯 (SNAT)/Outbound NAT。 docs.opnsense.org

三、為什麼需使用 NAT?

  • 私有 IP (如 10.x.x.x、192.168.x.x)不被網際網路直接路由,必須轉為公有 IP 才能與外部通訊。
  • 當有多台裝置共享單一外部 IP 時,使用 NAT 能將不同內部來源轉換至同一外部 IP 並仍維持通訊流暢。
  • 在對外提供服務時(如 Web、SSH、FTP 伺服器於內部網路),使用 Port Forwarding 能將外部請求導向內部伺服器。

四、在 OPNsense 中的設定方式與注意點

根據官方文件,你在 OPNsense 的操作可參考以下流程:

4.1 Port Forwarding (DNAT)

  • 前往:Firewall → NAT → Port Forward
  • 選擇對應的介面(通常為 WAN)
  • 設定來源/目的 IP 或網段,與 Port 範圍
  • 指定「Redirect target IP」為內部伺服器 IP
  • 指定「Redirect target port」如需改動端口
  • 如有需要,設定 NAT Reflection/Hairpin NAT(內部網段使用外部 IP 時的回環轉譯) docs.opnsense.org

4.2 Outbound NAT (SNAT)

  • 前往:Firewall → NAT → Outbound
  • 模式選擇:Automatic(自動)、Hybrid(混合)、Manual(手動) docs.opnsense.org
  • 若只有單一外部 IP ,通常維持 Automatic 即可;若有多個 WAN 或特殊轉換需求,選 Manual 或 Hybrid,並新增自訂規則。
  • 在規則中設定來源、目的、轉換目標(Translation/Target)等。

五、實際應用範例

  • 外部訪問內部 Web 伺服器
    外部請求經 WAN 介面,使用 Port 80/443,透過 Port Forwarding 導至內部伺服器 192.168.1.10。
  • **多個內部裝置共用公共 IP **:
    設定 Outbound NAT,使所有 LAN 裝置經由 OPNsense 的 WAN IP 進行來源轉換,確保外部伺服器可回應。
  • **使用 VIP 或多個 WAN IP **:
    若你有多個公有 IP 或 CARP VIP,則可用 Manual Outbound NAT 指定某內部網段轉出使用特定公有 IP 地址。

六、注意事項與最佳實務

  • NAT 並非安全工具:官方強調「NAT 不是安全功能,它只是一個轉換工具」。 docs.opnsense.org
  • 規則處理順序:NAT 規則會在防火牆過濾規則之前執行。若設置了 DNAT 但未配合相應過濾規則,可能導致封包不通。 docs.opnsense.org
  • 使用 Reflection/Hairpin NAT:當內部網段需透過外部 IP 存取內部伺服器時,需啟用此功能。 docs.opnsense.org
  • 設定模式選擇:對於大部分用戶,「Automatic Outbound NAT」即足夠;若進階需求再選 Manual。
  • 規劃虛擬 IP、子網路與 NAT 策略時,確保路由與 NAT 邏輯一致,避免回程錯誤(Asymmetric Routing)導致流量失敗。

七、總結

NAT 功能是 OPNsense 中不可或缺的一環,用以處理內部與外部網路的 IP 與連線邏輯。
掌握 DNAT(目的轉譯)與 SNAT(來源轉譯)的差異及應用場景,能讓企業環境中內外部服務、頻寬共享、與多 WAN 架構運作得更穩定。
合理使用 Port Forwarding、Outbound NAT 與 Reflection NAT,搭配過濾規則,構建安全且可控的網路架構。