Hinzufügen einer NAT-Regel
Sie können NAT-Regeln erstellen, um die IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken zu ändern, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk.
Sie können Quell-NAT-Regeln für den Datenverkehr von der angegebenen Quelladresse und Ziel-NAT-Regeln für den Datenverkehr zur angegebenen Zieladresse festlegen. Sie können auch Loopback-Richtlinien festlegen, um den Datenverkehr von internen Quellen auf interne Server zu übertragen.
Um eine Quell-NAT-Regel (SNAT) zu erstellen, geben Sie die ursprünglichen und übersetzten Quellen sowie die eingehenden und ausgehenden Schnittstellen an.
Um eine Ziel-NAT-Regel (DNAT) zu erstellen, geben Sie die ursprünglichen und übersetzten Ziele und Dienste sowie die eingehenden und ausgehenden Schnittstellen an. Mit DNAT-Regeln können Sie Lastausgleich und Failover für interne Server erzwingen. Sie müssen Folgendes angeben: Gesundheitscheck Einstellungen, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.
- Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6 und klicken Sie auf NAT-Regel hinzufügen.
Die Regel ist standardmäßig aktiviert. -
Geben Sie die Regeldetails ein.
Name Beschreibung Regelname Geben Sie einen Namen ein. Regelposition Geben Sie die Position der Regel in der Regeltabelle an:
- Spitze
- Unten
-
Geben Sie die Übersetzungseinstellungen für Quelle, Ziel, Dienste und Schnittstellen an, um sie an den durch Schnittstellen und VPN-Tunnel fließenden Datenverkehr anzupassen.
Ursprüngliche Quelle, Ziel und Dienst sind die Prä-NAT-Entitäten des Datenverkehrs beim Eintritt in die Sophos Firewall. Übersetzte Quelle, Ziel und Dienste sind die Post-NAT-Entitäten des Datenverkehrs beim Verlassen der Sophos Firewall. Sie können die ursprüngliche Quelle, das ursprüngliche Ziel und die ursprünglichen Dienste auswählen oder neue erstellen.Name Beschreibung Originalquelle Geben Sie die Pre-NAT-Quellobjekte des ausgehenden Datenverkehrs an. Wählen Sie „Beliebig“ aus, um eine eingehende NAT-Regel zu erstellen, wenn die eingehende IP-Adresse unbekannt ist. Übersetzte Quelle (SNAT) Die IP-Adressen der ursprünglichen Quellobjekte werden in die von Ihnen angegebenen IP-Adressen übersetzt. Verwenden Sie diese Option, um Quell-NAT (SNAT) für ausgehenden Datenverkehr durchzuführen.
Um den Verkehr zu maskieren, wählen Sie MASQ. Standardmäßig übersetzt Masquerading die ursprüngliche IP-Adresse in die IP-Adresse der ausgehenden Schnittstelle. Für routenbasierte VPNs, die mit Beliebig für die lokalen und Remote-Subnetze oder IP-Version eingestellt auf Dual, übersetzt die Firewall die ursprüngliche Quelle in die XFRM-IP-Adresse für die übersetzte Quelle, die auf MASQ.
Wählen Sie „Original“ aus, um eine eingehende NAT-Regel zu erstellen.
Ursprüngliches Ziel Geben Sie die Pre-NAT-Zielobjekte des eingehenden Datenverkehrs an. Wählen Sie „Beliebig“ aus, um eine ausgehende NAT-Regel zu erstellen. Übersetztes Ziel (DNAT) Die IP-Adressen der Zielobjekte werden in die von Ihnen angegebenen IP-Adressen oder FQDNs übersetzt. Wählen Sie „Original“ aus, um eine ausgehende NAT-Regel zu erstellen. Ursprünglicher Service Geben Sie die Pre-NAT-Dienste an. Dienste sind eine Kombination aus Protokollen und Ports. Um eine ausgehende NAT-Regel zu erstellen, wird dies im Allgemeinen auf „Beliebig“ gesetzt. Übersetzter Dienst (PAT) Die ursprünglichen Dienste werden in die von Ihnen angegebenen Dienste übersetzt. Verwenden Sie diese Option für die Port-Adressübersetzung (PAT). Wenn Sie mehrere ursprüngliche Dienste angegeben oder diese auf Beliebig, stellen Sie den übersetzten Dienst auf Original ein.
Das übersetzte Protokoll muss mit dem Originalprotokoll übereinstimmen. Sie können die ursprünglichen Service-Ports in einen einzelnen oder die gleiche Anzahl übersetzter Service-Ports übersetzen.
Sie können dies verwenden, um den Datenverkehr an interne Server weiterzuleiten. Geben Sie beispielsweise den TCP-Port 443 an, um eingehenden HTTPS-Datenverkehr an einen internen Webserver weiterzuleiten.Eingangsschnittstelle Wählen Sie die Schnittstellen aus, über die der in dieser Regel angegebene Datenverkehr in die Sophos Firewall gelangt.
Für das Ziel-NAT können Sie „Beliebig“ angeben.
Stellen Sie diese Schnittstelle für VPNs auf „Beliebig“ ein, da VPNs keine Schnittstellen sind.Ausgehende Schnittstelle Wählen Sie die Schnittstellen aus, über die der in dieser Regel angegebene Datenverkehr die Sophos Firewall verlässt.
Stellen Sie diese Schnittstelle für VPNs und Ziel-NAT-Regeln, die öffentliche IP-Adressen in private IP-Adressen übersetzen, auf „Beliebig“ ein. -
Wählen Überschreiben der Quellübersetzung für bestimmte ausgehende Schnittstellen um eine schnittstellenspezifische Quellübersetzung anzuwenden. Diese Option gilt nur für Quell-NAT-Regeln.
- Wählen Sie eine Option in Ausgehende Schnittstelle Und Übersetzte Quelle (SNAT)Um mehr als eine Option anzugeben, wählen Sie Erweitern
.
- Wählen Sie eine Option in Ausgehende Schnittstelle Und Übersetzte Quelle (SNAT)Um mehr als eine Option anzugeben, wählen Sie Erweitern
-
Wählen Loopback-Regel erstellen um internen Hosts den Zugriff auf andere interne Hosts zu ermöglichen, beispielsweise Server.
-
Wählen Reflexive Regel erstellen um eine Spiegelregel zu erstellen, die die Übereinstimmungskriterien der Regel umkehrt, aus der sie erstellt wurde.
Notiz
Sie können Loopback- und Reflexivregeln für Ziel-NAT-Regeln erstellen. Diese werden unter Verwendung der ursprünglichen NAT-Regel-ID und des ursprünglichen Namens erstellt. Eine spätere Änderung der ursprünglichen NAT-Regeleinstellungen hat keine Auswirkungen auf die Loopback- und Reflexivregeleinstellungen.
-
Wählen Sie ein Lastausgleichsmethode Wählen Sie aus den folgenden Optionen aus, um Anforderungen an die internen Hosts (übersetztes Ziel) zu senden:
- Rundenturnier: Sendet Anfragen nacheinander an jeden Server.
- Erster Lebender: Sendet Anfragen an den ersten verfügbaren Server.
- Zufällig: Sendet zufällig Anfragen an die Server.
- Feste IP: Sendet die Anfrage an einen Server basierend auf dem Hash der Quell- und ursprünglichen Ziel-IP-Adresse. Durch die Quell-Ziel-Zuordnung kann die Firewall Anfragen an denselben Server senden und so die Sitzungspersistenz aufrechterhalten.
- Einzelunterricht: Führt eine 1:1-Zuordnung der ursprünglichen und der übersetzten Ziel-IP-Adresse in der angegebenen Reihenfolge durch und sendet Anfragen entsprechend dieser Zuordnung. Um die Regel zu speichern, stellen Sie sicher, dass die ursprünglichen und die übersetzten Ziele über die gleiche Anzahl an IP-Adressen verfügen.
Sehen Lastausgleich und Failover.
Notiz
Sie müssen auswählen Gesundheitscheck und geben Sie die Einstellungen an, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.
Wenn Sie die Integritätsprüfungseinstellungen nicht auswählen, betrachtet die Firewall alle Server als verfügbar und kann Datenverkehr an einen nicht verfügbaren Server senden, was zu Paketverlusten führt.
-
Wählen Gesundheitscheck Senden Sie Anfragen nur an die Live-Server und erzwingen Sie ein Server-Failover. Geben Sie das Testintervall, das Antwort-Timeout und die Anzahl der Wiederholungsversuche an, nach denen der Host deaktiviert werden soll.
Die Integritätsprüfung wird standardmäßig erzwungen für Erster Lebender NAT-Methode.
- Wählen Sie die Prüfmethode aus. Sie können die Protokolle ICMP (Ping) oder TCP auswählen.
- Geben Sie den Port ein, über den geprüft werden soll.
- Geben Sie das Prüfintervall an. Dies ist das Intervall zwischen den Integritätsprüfungen.
- Geben Sie das Antwort-Timeout an. Der Server muss innerhalb dieses Zeitraums antworten, um als aktiv zu gelten.
- Für Host deaktivieren nach, geben Sie die Anzahl der Wiederholungsversuche an.
-
Klicken Speichern.
Weitere Ressourcen