Online-Hilfe

Netzfilter - Beispiel für eine NAT-Regel zur Port-Weiterleitung

Eine Steuerung (IP-Adresse 192.168.5.31) im Maschinennetz (net2) soll über das Firmennetz vor Ort (net3) von einem PC (IP-Adresse 192.168.200.156) erreicht werden können. Der Kommunikations-Port ist TCP-Port 102. Der Router ist dabei das Bindeglied zwischen beiden Netzwerken und hat im Maschinennetz die IP-Adresse 192.168.5.1 und im Firmennetz die IP-Adresse 192.168.200.189. Der PC im Firmennetz wendet sich dabei an die Firmennetz-Adresse des Routers (192.168.200.189); alles andere wird vom Router bewerkstelligt. Dazu sind eine Destination-NAT-Regel und eine IP-Filter-Regel erforderlich.

Die Destination-NAT-Regel (Port-Forwarding-Regel) ist wie folgt anzulegen:

  • Beschreibung: Forward to control
  • Typ: Portforward
  • Protokoll: TCP
  • Eingehendes Interface: net3 (über welches das Paket den Router erreicht)
  • Ziel-Port: 102
  • Destination-NAT auf Adresse: 192.168.5.31
  • Destination-NAT auf Port: 102

Die IP-Filter-Regel (Firewall-Regel) ist wie folgt anzulegen:

  • Beschreibung: Forward to control
  • Paket-Richtung: FORWARD
  • IP-Version: Alle
  • Protokoll: TCP
  • Eingehendes Interface: net3 (über welches das Paket den Router erreicht)
  • Ausgehendes Interface: net2 (über welches das Paket den Router verlässt)
  • Absender-IP-Adresse: 192.168.200.156 / 32
  • Absender-Port: (Feld bleibt leer)
  • Ziel-IP-Adresse: 192.168.5.31 / 32
  • Ziel-Port: 102

Hinweise:

  • Die Port-Weiterleitung ist nur notwendig, wenn man vom Firmennetz aus kein Routing für das Maschinennetz eingerichtet hat.
  • Das Gerät im Firmennetz kommuniziert immer mit der Firmennetz-Adresse des Routers und nicht mit der Maschinennetz-Adresse der Steuerung.
  • In der IP-Filter-Regel wird kein Absender-Port eingetragen, da dieser dynamisch vom jeweiligen Gerät bestimmt wird und somit nicht vorhersehbar ist.
  • Falls man von mehreren Geräten im Firmennetz aus auf die Steuerung zugreifen will, muss das Feld Absender-IP-Adresse geändert werden. Dazu zwei Beispiele:
    • Absender-IP-Adresse: 192.168.200.0 / 24 (erlaubt alle Geräte aus dem Firmennetz: IP-Adressen 192.168.200.1 bis 192.168.200.254)
    • Absender-IP-Adresse: 192.168.200.64 / 26 (erlaubt folgende Geräte aus dem Firmennetz: IP-Adressen 192.168.200.65 bis 192.168.200.126)
  • Als Ziel-IP-Adresse der IP-Filter-Regel wird nicht die IP-Adresse eingetragen, über die der Router das Paket bekommt (192.168.200.189), sondern die durch die DNAT-Regel veränderte IP-Adresse (192.165.5.31), da die DNAT-Regel vor der IP-Filter-Regel Anwendung findet.
  • INSYS Netzwerk-Infotool zur Berechnung von IP-Adressen und Netzmasken