Arten von NAT-Regeln
Sie können Quell-NAT- (SNAT) und Ziel-NAT- (DNAT) Regeln erstellen, einschließlich Regeln zur Portweiterleitung.
Sie können eine verknüpfte NAT-Regel mit der Firewall-Regelkonfiguration und Loopback- und reflexive Regeln mit einer DNAT-Regelkonfiguration erstellen.
Quell-NAT
Die Werkskonfiguration verfügt über eine Standard-Source-NAT-Regel (SNAT), wobei die übersetzte Quelle auf MASQ.
Notiz
Sie können die Standard-SNAT-Regel löschen (Standard-SNAT-IPv4), wird aber immer wieder angezeigt, wenn Sie eine WAN-Schnittstelle erstellen oder aktualisieren. Wir empfehlen, diese Regel zu deaktivieren, wenn Sie sie nicht benötigen.
Tipp
Standardmäßig MASQ in einer SNAT-Regel übersetzt die ursprüngliche IP-Adresse in die WAN-IP-Adresse.
Für routenbasierte VPNs, konfiguriert mit Beliebig für die lokalen und Remote-Subnetze oder IP-Version eingestellt auf Dual, übersetzt die Firewall die ursprüngliche Quelle in die XFRM-IP-Adresse für die übersetzte Quelle, die auf MASQ.
Sie können die XFRM-IP-Adresse im TCP-Dump und in der Paketerfassung sehen. Die IP-Adressen werden wie folgt angezeigt:
WAN-IP-Adresse: Im äußeren IP-Header des gekapselten Pakets.
XFRM-IP-Adresse: Im inneren IP-Header für die Quelle.
SNAT-Regeln für ausgehenden Datenverkehr ermöglichen internen Clients und Servern den Zugriff auf externe Hosts. Die Sophos Firewall kann die Quell-IP-Adresse mehrerer interner Clients und Server in dieselbe öffentliche IP-Adresse mit unterschiedlichen Portnummern übersetzen. Sie können eine IP-Adresse oder einen IP-Bereich als übersetzte Quelle konfigurieren.
Notiz
Wenn Sie einen IP-Adressbereich als übersetzte Quelle konfigurieren, weist die Sophos Firewall die nächste verfügbare IP-Adresse im Bereich zu. Es erfolgt keine 1:1-Übersetzung, selbst wenn die Anzahl der IP-Adressen im Bereich für die ursprüngliche und die übersetzte Quelle identisch ist.
Sie können auch schnittstellenspezifisches NAT definieren, um die IP-Adressen eines oder mehrerer interner Hosts in die IP-Adresse zu übersetzen, die Sie für eine ausgehende Schnittstelle angeben.
Sie können keine SNAT-Regel mit einer öffentlichen Schnittstelle erstellen, die ein Bridge-Mitglied ist, da Bridge-Mitglieder keiner Zone angehören. Wenn Sie eine öffentliche Schnittstelle als Bridge-Mitglied konfigurieren, werden Quell-NAT-Regeln, die diese Schnittstelle verwenden, gelöscht.
Reflexive Regeln
Sie können gespiegelte NAT-Regeln für Ziel-NAT-Regeln erstellen. Dabei handelt es sich um SNAT-Regeln, die die Übereinstimmungskriterien der Zielregel umkehren. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf einen internen Server zu übertragen. Die entsprechende reflexive Regel lässt Datenverkehr vom Server zur in der Ziel-NAT-Regel angegebenen Quelle zu.
Wenn das ursprüngliche Ziel keine IP-Adresse ist oder übersetzt wird, wird die übersetzte Quelle maskiert.
Verknüpfte NAT-Regeln
Sie können verknüpfte NAT-Regeln beim Erstellen von Firewall-Regeln erstellen. Dabei handelt es sich um SNAT-Regeln, die in der NAT-Regeltabelle angezeigt werden.
Alle Übereinstimmungskriterien einer Firewallregel, einschließlich Benutzer und Zeitplan, gelten für die verknüpfte NAT-Regel. Sie können diese Einstellungen in der NAT-Regel nicht bearbeiten. Sie können in einer verknüpften NAT-Regel nur die übersetzten Quellen angeben, einschließlich schnittstellenspezifischer übersetzter Quellen.
Die Sophos Firewall gleicht verknüpfte NAT-Regeln nur mit Datenverkehr ab, der mit der verknüpften Firewall-Regel in Zusammenhang steht. Findet die Firewall jedoch eine Übereinstimmung mit einer Regel über der verknüpften NAT-Regel, werden die Einstellungen der ersten Regel angewendet.
Tipp
Wir empfehlen, keine neuen verknüpften NAT-Regeln zu erstellen, wenn eine generische NAT-Regel dem Datenverkehr entspricht. Erstellen Sie unabhängige NAT-Regeln, um Ihre Konfiguration zu vereinfachen, da Sie weniger NAT-Regeln als Firewall-Regeln benötigen. Beispielsweise benötigen Sie möglicherweise nur eine einzige SNAT-Regel, um ausgehenden Datenverkehr in einer einfachen Umgebung zu maskieren. Sie müssen nicht für jede Firewall-Regel eine eigene SNAT-Regel erstellen.
Verknüpfte NAT-Regeln in der Regeltabelle bereinigen
Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewall-Regel verknüpft.
Bei der Migration auf SFOS 18.0 oder höher werden möglicherweise viele verknüpfte NAT-Regeln (Source-NAT) in der NAT-Regeltabelle erstellt. Diese sind mit Firewall-Regeln verknüpft, für die vor der Migration keine NAT-Einstellungen konfiguriert waren oder für die NAT basierend auf Benutzern und Zeitplan implementiert wurde.
Wir haben diese Regeln nicht automatisch bereinigt, um sicherzustellen, dass sich das Verhalten nach der Migration nicht ändert. Sie können sie jedoch löschen. Es handelt sich um verknüpfte NAT-Regeln mit den folgenden Kriterien:
- Übersetzte Quelle eingestellt auf MASQ.
- Verknüpft mit Firewall-Regeln, deren Zielzone nur auf VAN.
Am Ende der Regeltabelle haben wir eine Standard-Quell-NAT-Regel hinzugefügt (Standard-SNAT-IPv4 oder Standard-SNAT-IPv6) mit übersetzter Quelle auf MASQDie Regel ist standardmäßig deaktiviert. Sie können diese Regel neu positionieren, um die gelöschten Regeln zu ersetzen und sie zu aktivieren.
In der NAT-Regeltabelle bietet das Feld unter dem Regelfiltermenü die folgenden Optionen für diese verknüpften NAT-Regeln:
- Verstanden. Regeln nicht löschen: Die Regeln werden nicht gelöscht. Das Feld wird nicht erneut angezeigt.
- Verknüpfte NAT-Regeln löschen (nur MASQ; Ziel: WAN): Löscht die verknüpften NAT-Regeln mit der übersetzten Quelle auf MASQ und mit Firewall-Regeln verknüpft, deren Zielzone nur auf VAN.
- Wählen Sie die Schaltfläche „X“ oben rechts aus, um das Feld vorübergehend auszublenden. Beim späteren Öffnen der Seite wird das Feld wieder angezeigt.
Ziel-NAT
Sie können Ziel-NAT-Regeln (DNAT) für eingehenden Datenverkehr erstellen, um externen Hosts den Zugriff auf interne Clients und Server zu ermöglichen. Sie können eine Eins-zu-eins-, Viele-zu-eins-, Viele-zu-viele- und Eins-zu-viele-Übersetzung Ihrer öffentlichen IP-Adressen in private IP-Adressen festlegen.
Lastausgleich und Failover
Sie können eine Lastausgleichsmethode für die übersetzten Zielhosts angeben, z. B. Web- oder E-Mail-Server. Als Lastausgleichsmethode stehen Round Robin, First Alive, Random, Sticky IP oder One-to-One zur Verfügung.
Notiz
Sie müssen auswählen Gesundheitscheck und geben Sie die Einstellungen an, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.
Rundenturnier
Sendet Anfragen sequenziell an jeden Server, beginnend mit dem ersten verfügbaren Server in der Liste. Die Firewall sendet dann die nächste Anfrage an den nächsten Server in der Liste und so weiter.
Verwenden Sie dies, um die Anzahl der Verbindungen gleichmäßig zu verteilen, wenn Sie keine Sitzungspersistenz benötigen.
Beispiel
Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3
Zugewiesene Server:
- Erste Anfrage: 10.10.10.1
- Zweite Anfrage: 10.10.10.2
- Dritte Anfrage: 10.10.10.3
- Vierte Anfrage: 10.10.10.1
Erster Lebender
Sendet Anfragen an den ersten verfügbaren Server in der Liste. Die Firewall sendet Anfragen nur dann an den nächsten Server, wenn der erste Server nicht mehr verfügbar ist und Sie die Einstellungen für die Integritätsprüfung festgelegt haben.
Verwenden Sie dies, wenn Sie alle Anfragen an einen Server mit hoher Bandbreite senden und die anderen Server nur als Backups verwenden möchten.
Beispiel
Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3
Zugewiesene Server: Alle Anfragen werden an 10.10.10.1 gesendet, wenn dieser verfügbar ist.
Zufällig
Sendet zufällig Anfragen an die Server.
Beispiel
Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3
Zugewiesene Server: Sendet Anfragen nach dem Zufallsprinzip an die Server.
Feste IP
Die Firewall ermittelt einen Hash für die Quell-IP-Adresse und die ursprüngliche Ziel-IP-Adresse. Anschließend wird ein Modulo für die Anzahl der Server verwendet, um die übersetzte Ziel-IP-Adresse für den Hash zu ermitteln. Bei einem Quell-Ziel-Paar bleibt der Server also derselbe.
Wenn der zugewiesene Server nicht mehr verfügbar ist, leitet die Firewall den Datenverkehr an den nächsten verfügbaren Server weiter, bis der zuvor zugewiesene Server wieder verfügbar ist (sofern Sie die Integritätsprüfungseinstellungen angegeben haben). Die Firewall behält jedoch statusbehaftete Verbindungen bei und stellt nur neue Verbindungen mit dem zuvor nicht verfügbaren Server her.
Verwenden Sie dies, wenn Sie eine Sitzungspersistenz für Anwendungen wie Einkaufswagen und Banktransaktionen wünschen.
Beispiel
Quell-IP-Adresse: 192.168.1.0/24
Ursprüngliches Ziel: 172.16.1.1 bis 172.16.1.4
Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3
Zugewiesene Server: Angenommen, das Modulo eines Hashs (Quelle 192.168.1.1 und ursprüngliches Ziel 172.16.1.1) verweist auf 10.10.10.3. Anfragen von dieser Quelle an dieses ursprüngliche Ziel werden immer an 10.10.10.3 gesendet, solange der Server verfügbar ist.
Einzelunterricht
Führt eine Eins-zu-eins-Zuordnung der ursprünglichen und übersetzten Ziel-IP-Adressen in der aufgelisteten Reihenfolge durch und sendet Anfragen entsprechend dieser Zuordnung an die Server.
Beispielsweise sendet die Firewall Anfragen, die das erste ursprüngliche Ziel erreichen, immer an das erste übersetzte Ziel auf der Liste.
Um die Regel zu speichern, stellen Sie sicher, dass das ursprüngliche und das übersetzte Ziel über die gleiche Anzahl an IP-Adressen verfügen.
Beispiel
Ursprüngliches Ziel: 172.16.1.1 bis 172.16.1.3
Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3
Zugewiesene Server:
- Anfragen an 172.16.1.1 werden an 10.10.10.1 gesendet.
- Anfragen an 172.16.1.2 werden an 10.10.10.2 gesendet.
- Anfragen an 172.16.1.3 werden an 10.10.10.3 gesendet.
Loopback-Regeln
Sie können Loopback-Regeln aus Ziel-NAT-Regeln erstellen, um internen Hosts die Kommunikation mit anderen internen Hosts über die externe IP-Adresse oder den Domänennamen zu ermöglichen. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf Ihren Servern zu übersetzen und eine Loopback-Regel zu erstellen.
Um eine Loopback-Regel zu erstellen, geben Sie die folgenden Kriterien für die Ziel-NAT-Regel an:
- Originalquelle: Any
- Übersetzte Quelle: MASQ
- Übersetztes Ziel: Nicht auf Original setzen.
Portweiterleitung
Die Sophos Firewall implementiert Portweiterleitung mit Serviceübersetzung. Services sind eine Kombination aus Protokollen und Ports. Das übersetzte Protokoll muss mit dem ursprünglichen Protokoll übereinstimmen.
Die Sophos Firewall implementiert Eins-zu-eins-, Viele-zu-eins- und Viele-zu-viele-Übersetzungen. Bei Viele-zu-viele-Übersetzungen müssen die Ports des ursprünglichen und des übersetzten Dienstes gleich viele sein.
Notiz
Die Web-Admin-Konsole der Sophos Firewall und das Benutzerportal sind über HTTPS über die Standardports 4444 bzw. 443 erreichbar. Wenn Ihre öffentlichen IP-Adressen mit HTTPS-Portweiterleitung an interne Webserver konfiguriert sind, gehen Sie zu Verwaltung > Administratoreinstellungen und geben Sie ungenutzte Ports an für HTTPS-Port der Admin-Konsole Und HTTPS-Port des BenutzerportalsAlternativ können Sie einen anderen Port für Ihre Webserver angeben.