DNAT-Regel mit dem Serverzugriffsassistenten hinzufügen
Der Serverzugriffsassistent unterstützt Sie beim Erstellen von Ziel-NAT-Regeln (DNAT) für eingehenden Datenverkehr zu einem internen Server.
Diese Regeln übersetzen eingehenden Datenverkehr auf Server wie Web-, E-Mail-, SSH- oder andere Server und Remote-Desktops. Der Assistent erstellt automatisch die folgenden Regeln:
- Eingehende NAT-Regel: DNAT-Regel, die den Datenverkehr von der WAN-Zone zum internen Server übersetzt.
- Loopback-NAT-Regel: DNAT-Regel, die den Datenverkehr von internen Benutzern zum Server übersetzt.
- Ausgehende NAT-Regel: SNAT-Regel, die ausgehenden Datenverkehr vom Server übersetzt. In der NAT-Regelkonfiguration wird sie als reflexive Regel bezeichnet.
- Firewall-Regel: Lässt eingehenden Datenverkehr zum Server zu.
Wenn Sie bestimmte Einstellungen wünschen, können Sie die Regeln später bearbeiten.
Beschränkung
Sie können nicht gleichzeitig eine DNAT-Regel und einen gewichteten Lastenausgleich für denselben DNS-Hosteintrag konfigurieren.
Serverzugriffsassistent verwenden
-
Wählen Sie den Serverzugriffsassistenten aus einer der folgenden Optionen aus:
- Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6 und klicken Sie auf NAT-Regel hinzufügen. Wählen Serverzugriffsassistent (DNAT).
- Gehe zu Regeln und Richtlinien > Firewall-Regeln, wählen Sie das Protokoll IPv4 oder IPv6 und klicken Sie auf Firewallregel hinzufügen. Wählen Serverzugriffsassistent (DNAT).
-
Geben Sie die Einstellungen an:
- Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6und klicken Sie auf NAT-Regel hinzufügen.
- Gehe zu Regeln und Richtlinien > Firewall-Regeln, wählen IPv4 oder IPv6und klicken Sie auf Firewallregel hinzufügen.
-
Wählen Serverzugriffsassistent (DNAT).
-
Für Interne Server-IP-AdresseGeben Sie den internen Server an, auf den Benutzer zugreifen sollen. Verwenden Sie eine der folgenden Optionen:
- Wählen Sie den IP-Host des Servers aus.
- Geben Sie die IP-Adresse ein, die Sie dem Server zuweisen möchten.
Die Firewall prüft die Schnittstelle, über die Benutzer den internen Server erreichen können und legt die Zone der Schnittstelle als Zielzone. Firewall-Regeln verwenden dies als Zielzone, um den Datenverkehr abzugleichen.
-
Verwenden Sie für die WAN-IP-Adresse eine der folgenden Optionen:
- Wählen Sie die WAN-Schnittstelle aus.
- Geben Sie die öffentliche IP-Adresse Ihres Netzwerks ein.
Notiz
Um automatisch eine Loopback-DNAT-Regel zu erstellen, wählen Sie eine Firewall-Schnittstelle anstelle einer öffentlichen IP-Adresse aus.
-
Für Leistungen, wählen Sie den Dienst des internen Servers (Port- und Protokollkombination).
-
Für Externe Quellnetzwerke und -geräteWählen Sie die Quellnetzwerke und -geräte aus, von denen aus Benutzer auf den internen Server zugreifen können.
Notiz
Um internen Benutzern den Zugriff auf den Server zu ermöglichen, wählen Sie Beliebig. Diese Einstellung ist erforderlich, damit die Firewall eine Loopback-DNAT-Regel erstellen kann.
-
Überprüfen Sie die Einstellungen und Regeln und klicken Sie dann auf Speichern und beenden.
Der Assistent fügt die Regeln oben in den NAT- und Firewall-Regeltabellen hinzu und aktiviert sie standardmäßig.
Die Namen der reflexiven und Loopback-Regeln enthalten den Namen und die Regel-ID der von Ihnen erstellten DNAT-Regel. Der Name der Firewall-Regel enthält den Namen der DNAT-Regel.
-
Positionieren Sie die NAT- und Firewall-Regeln in den entsprechenden Regeltabellen entsprechend Ihren Anforderungen neu.
Die Firewall wertet die Regeln von oben in der angezeigten Reihenfolge aus, bis sie eine Regel findet, die zum Datenverkehr passt.
Loopback-Regel
Die Firewall erstellt nur dann eine Loopback-DNAT-Regel zum Übersetzen des internen Datenverkehrs auf den Server, wenn Sie die folgenden Optionen auswählen:
- Satz Öffentliche IP-Adresse zur WAN-Schnittstelle. Wenn Sie eine öffentliche IP-Adresse verwenden, gelangt der Datenverkehr über eine beliebige Schnittstelle in die Firewall, und die eingehende Schnittstelle der DNAT-Regel ist auf BeliebigWenn eine Loopback-Regel automatisch erstellt wird, verfügt sie über dieselbe Einstellung für die eingehende Schnittstelle.
- Satz Externe Quellnetzwerke und -geräte Zu Beliebig. Es umfasst Netzwerke im WAN und in internen Zonen.
Die DNAT- und Loopback-Regeln haben dann dieselben Einstellungen für den Datenverkehrabgleich und die Firewall wendet die Regel an, die zuerst auf den Datenverkehr zutrifft.
Serverzugriffsassistent versus manuelle DNAT-Regeln
Sie können die vom Assistenten erstellten Regeln bearbeiten und bestimmte Einstellungen manuell auswählen. Im Folgenden finden Sie Beispiele für Situationen, in denen Sie mit dem Serverzugriffsassistenten erstellte Regeln manuell bearbeiten müssen:
- Die Firewall übersetzt nicht die Quellnetzwerke Und Leistungen Sie konfigurieren im Assistenten. Es legt die Übersetzte Quelle Und Übersetzter Dienst Zu
Original
. - Wenn Sie die Ursprüngliches Ziel zu einer Alias-IP-Adresse, die Firewall setzt ihre physische Schnittstelle als Übersetzte Quelle in den SNAT- und Loopback-Regeln. Um stattdessen die Alias-Adresse zu verwenden, erstellen Sie einen IP-Host für den Alias und legen Sie ihn manuell als Übersetzte Quelle.
Notiz
Wenn Sie die Einstellungen der von Ihnen erstellten NAT-Regeln ändern, aktualisieren Sie die erforderlichen Firewall-Regeleinstellungen.
Vergleich der Einstellungen und Optionen
Mit dem Assistenten können Sie schnell und einfach Konfigurationen erstellen. Die DNAT-Regel bietet mehr Möglichkeiten und ermöglicht Ihnen, komplexere Einstellungen vorzunehmen.
Die folgende Tabelle zeigt die entsprechenden manuellen Einstellungen für den Assistenten.
Serverzugriffsassistent | DNAT-Regel (Manuell erstellt) |
---|---|
Interne Server-IP-Adresse Eine einzelne IP-Adresse oder ein IP-Host. | Übersetztes Ziel IP-Adresse, IP-Bereich, IP-Liste oder Netzwerk. |
Öffentliche IP-Adresse Eine einzelne IP-Adresse, ein IP-Host oder eine beliebige Schnittstelle. | Ursprüngliches Ziel Jede Schnittstelle oder jeder Host (IP-Adresse, IP-Liste, IP-Bereich, Netzwerk, Land, FQDN, MAC-Adresse oder MAC-Liste). |
Leistungen Allgemeine und benutzerdefinierte Dienste. Sie müssen im Voraus benutzerdefinierte Dienste erstellen. Um die Portübersetzung zu konfigurieren, bearbeiten Sie die Regeln später und wählen Sie einen Dienst unter Übersetzter Dienst. | Ursprünglicher Service Allgemeine und benutzerdefinierte Dienste. Hier können Sie benutzerdefinierte Dienste erstellen. |
Externe Quellnetzwerke und -geräte Jeder Host | Originalquelle Jeder Host, einschließlich Systemhosts. |
Weitere Ressourcen