Ir para o conteúdo

Capítulo 18 – NAT

Introdução

A Tradução de Endereços de Rede (NAT – Network Address Translation) é um dos pilares fundamentais da conectividade em redes modernas.
No OPNsense, o NAT exerce um papel duplo e estratégico: ele viabiliza a navegação de saída da rede interna para a Internet usando um único IP público e, ao mesmo tempo, controla a exposição de serviços internos que precisam ser acessíveis externamente.

De forma prática, o NAT atua em duas direções complementares:

  • Tráfego de Saída (Outbound NAT): permite que dispositivos internos acessem a Internet, substituindo seus endereços IP privados pelo IP público do firewall (geralmente via Source NAT ou Port Address Translation).
  • Tráfego de Entrada (Inbound NAT): permite que serviços internos (como web, e-mail ou RDP) sejam acessados de forma controlada pela Internet, através de Destination NAT ou Port Forward.

Compreender e configurar corretamente o NAT no OPNsense é essencial para garantir o uso eficiente de endereços IP, a segurança do perímetro e a acessibilidade controlada dos serviços corporativos.

NAT de Saída (SNAT e PAT)

Por padrão, o OPNsense cria automaticamente as regras necessárias para permitir que a rede interna navegue na Internet.
Essa configuração automática está localizada em Firewall → NAT → Outbound, no modo Automatic outbound NAT rule generation.

As regras criadas traduzem o IP privado de origem para o IP público da interface WAN, permitindo a comunicação externa.

Tipos de NAT de Saída

  • SNAT (Source NAT): traduz apenas o endereço IP de origem, substituindo o IP interno por um IP público.
  • PAT (Port Address Translation): traduz IP e porta de origem, permitindo que múltiplos dispositivos compartilhem um único IP público diminuindo a chance de colisão de portas.
    No OPNsense, o PAT é identificado quando a coluna Static Port está configurada como NO, indicando que a porta original será mascarada.

Quando configurar manualmente o SNAT/PAT?

Embora o modo automático atenda à maioria dos ambientes, há cenários em que a configuração manual do NAT de saída é necessária:

1. Utilização de múltiplos IPs públicos

Em ambientes que possuem um bloco de endereços públicos (ex.: /29), é possível atribuir IPs diferentes para serviços específicos.
Por exemplo, definir que o servidor de e-mail use um IP de saída dedicado, separando-o do IP de navegação geral dos usuários.
Isso melhora a reputação de envio SMTP e organiza o tráfego de saída por função.

2. Balanceamento de carga de saída

O NAT manual também é usado para distribuir o tráfego de saída entre múltiplos IPs públicos, geralmente em modo round-robin.
Essa estratégia é útil quando serviços externos limitam requisições por IP de origem.

NAT de Entrada (DNAT – Encaminhamento de Portas)

O NAT de entrada (DNAT) é usado para publicar serviços internos na Internet — como servidores web, e-mail, ou mesmo RDP.
Essa configuração é feita através do Encaminhamento de Portas (Port Forward).

Criando uma regra de Port Forward

  1. Acesse Firewall → NAT → Port Forward.
  2. Clique em + Add.

  3. Configure os seguintes campos:

    • Interface: WAN
    • Protocol: TCP ou TCP/UDP
    • Destination: This Firewall
    • Destination Port Range: porta do serviço (ex.: HTTP, RDP, 443)
    • Redirect Target IP: IP interno do servidor (ex.: 192.168.10.20)
    • Redirect Target Port: normalmente igual à porta externa
    • Log: habilite para auditoria
    • Description: exemplo: “Publica Servidor Web”

  4. Clique em Save e depois em Apply Changes.

Importante

A publicação direta do RDP (porta 3389) para a Internet representa alto risco de segurança.
Prefira utilizar VPNs (como OpenVPN ou IPsec) para acesso remoto seguro.
O RDP exposto é um dos principais vetores de ataques de força bruta e exploração automatizada.

NAT Reflection (Acesso Interno via IP Público)

Em alguns casos, é desejável que um serviço publicado via DNAT seja acessível tanto externamente quanto internamente usando o mesmo nome ou IP público.
Essa funcionalidade é chamada de NAT Reflection (ou Loopback).

Habilitando NAT Reflection

  1. Acesse Firewall → NAT → Port Forward.
  2. Localize a regra de DNAT e edite-a.
  3. No campo NAT Reflection, altere para Enable.
    O OPNsense criará automaticamente as regras necessárias para permitir o retorno interno da conexão.
  4. Em Firewall → Settings → Advanced, habilite a opção: Automatic outbound NAT for Reflection.
    Isso completa o loopback, mascarando o tráfego interno e garantindo que as conexões funcionem corretamente.

Alternativa recomendada – Split-Horizon DNS

Sempre que possível, evite depender de NAT Reflection.
Prefira o uso do Split-Horizon DNS, técnica em que os hosts internos resolvem o nome do serviço diretamente para o IP privado do servidor.
Isso reduz a complexidade e melhora o desempenho do acesso local.

Observações Importantes

  • Política de Segurança: publique apenas serviços estritamente necessários, e somente para quem precisa.
  • Risco do RDP: nunca exponha RDP diretamente; use VPNs seguras.
  • NAT Híbrido: no modo Hybrid Outbound NAT, evite duplicar regras manuais. Verifique sempre o comportamento esperado.
  • DNS e Loopback: após habilitar NAT Reflection, valide o comportamento do DNS interno para evitar conflitos de resolução.
  • Auditoria: habilite o Logging em regras de DNAT para registrar tentativas de acesso indevido.
  • Revisão periódica: revise suas regras NAT após mudanças de IP, infraestrutura ou serviços publicados.

Boas Práticas

  • Documente todas as regras NAT com descrições claras.
  • Utilize IPs estáticos ou reservas DHCP para hosts publicados via DNAT.
  • Substitua DNAT por VPN sempre que o objetivo for acesso remoto administrativo.
  • Implemente filtros de origem em DNATs para limitar acessos a IPs confiáveis.
  • Combine NAT com IDS/IPS do OPNsense para detectar e bloquear tentativas maliciosas.
  • Teste as regras com ferramentas como telnet, curl e verificações externas de portas abertas.

Caso de Uso 1 – Publicação de Servidor Web

Cenário

A empresa possui um servidor web interno (IP: 192.168.10.20) que hospeda o site institucional.
É necessário torná-lo acessível pela Internet sem expor outras partes da rede.

Solução

  • Criar regra DNAT (Port Forward) na interface WAN, publicando as portas 80 e 443.
  • Usar Aliases de porta (PORTAS_HTTP_HTTPS) para simplificar a configuração.
  • Habilitar Logging e descrever a regra (“Publica site Institucional”).
  • Ativar NAT Reflection para permitir acesso interno via IP público.

Resultados

  • Disponibilidade externa: o site pode ser acessado externamente e internamente com o mesmo nome DNS.
  • Segurança: apenas as portas HTTP/HTTPS são expostas, com registros de acesso.
  • Conveniência: usuários internos não precisam de configurações diferenciadas.

Caso de Uso 2 – Separação de Tráfego de Saída com IP Público Diferente

Cenário

A empresa recebe um bloco público /29 e deseja que o servidor SMTP (192.168.10.30) utilize um IP público distinto para conexões externas, separando-o da navegação comum dos usuários.

Solução

  1. Cadastrar o IP público secundário como Virtual IP no OPNsense.
  2. Criar uma regra de Outbound NAT (SNAT) definindo:
    • Source: 192.168.10.30
    • Translation / Target: IP público secundário
  3. Manter o NAT automático para os demais usuários.
  4. Validar o tráfego de saída via logs e monitoramento.

Resultados

  • Segregação lógica: servidores usam IP dedicado para saída.
  • Controle e reputação: facilita auditorias e reduz bloqueios de SMTP.
  • Flexibilidade: diferentes IPs podem ser atribuídos a serviços distintos.

Conclusão

O NAT no OPNsense é um componente essencial para a segurança e eficiência das comunicações de rede.
Ao dominar os conceitos de SNAT, PAT, DNAT e Reflection, o administrador é capaz de controlar o fluxo de tráfego entre redes internas e externas, garantindo conectividade, rastreabilidade e proteção.
A aplicação das boas práticas — como documentação, restrição de origem e uso de VPN — assegura que o NAT seja não apenas funcional, mas também seguro e auditável em ambientes corporativos.