Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-create-internal-servers

Erstellen einer PAT-Regel (Port Address Translation) für den Datenverkehr zu internen Servern

Dieses Beispiel zeigt, wie Sie eine Many-to-Many-Ziel-NAT-Regel mit Portübersetzung für eingehenden Datenverkehr zu internen Servern erstellen. Außerdem wird gezeigt, wie Sie Firewall-Regeln erstellen, um den Datenverkehr zuzulassen.

Ziele

Wenn Sie diese Einheit abgeschlossen haben, können Sie Folgendes tun:

  • Erstellen Sie eine Ziel-NAT-Regel, um den Datenverkehr von externen Quellen auf die internen Server zu übertragen.
  • Geben Sie eine Loopback-NAT-Regel an, um den Datenverkehr von internen Quellen auf die internen Server zu übertragen.
  • Geben Sie eine reflexive NAT-Regel an, um den Datenverkehr von den Servern zu übersetzen. Dies ist eine Quell-NAT-Regel für die internen Server.
  • Lastenausgleich des Datenverkehrs zwischen den internen Servern.

DNAT-Netzwerkdiagramm

Destination NAT wird typischerweise verwendet, um eingehenden Datenverkehr zu übersetzen, der die WAN-IP-Adressen erreicht. Die folgenden Netzwerkinformationen dienen der Veranschaulichung:

  • Pre-NAT-IP-Adresse von Webservern: 11.8.9.28
  • Post-NAT-IP-Adressen von Webservern: 10.145.15.42, 10.145.15.114

Network diagram: Internal web servers.

Hier ist ein Beispiel:

  • Ziel-NAT von externer Quelle zu internen Webservern mit Portübersetzung: Any Zu Web server public IP address (11.8.9.28) übersetzt in Web server internal IP list (10.145.15.42, 10.145.15.114) mit Portübersetzung von TCP 8888 Zu TCP 4444.
  • Loopback-Regel zum Übersetzen des Datenverkehrs von der internen Quelle auf interne Webserver: Network LAN (10.145.16.10/24) Zu Web server public IP address (11.8.9.28) übersetzt in Web server internal IP list (10.145.15.42, 10.145.15.114) mit Portübersetzung von TCP 8888 Zu TCP 4444.
  • Reflexive Regel zum Übersetzen des Datenverkehrs vom Webserver zu externen und internen Zielen: Web server internal IP list (10.145.15.42, 10.145.15.114) Zu Any.
  • Lastausgleichsmethode für die Webserver.
  • Firewall-Regel, um Datenverkehr von externen Netzwerken zu den internen Webservern in der DMZ zuzulassen.
  • Firewall-Regel, um Datenverkehr von einem internen Netzwerk zu den internen Webservern zuzulassen.
  • Firewall-Regel, um Datenverkehr von den internen Webservern zu jedem Netzwerk zuzulassen.

Festlegen der NAT-Regeleinstellungen

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6und klicken Sie auf NAT-Regel hinzufügen > Neue NAT-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie in diesem Beispiel die Übersetzungseinstellungen für den eingehenden Datenverkehr zu den Webservern an:

    Einstellung Wert
    Originalquelle Any
    Übersetzte Quelle (SNAT) MASQ
    Ursprüngliches Ziel Webserver_PublicIPAddress
    Übersetztes Ziel (DNAT) Webserver_InternalIPAddressList
    Ursprünglicher Service

    TCP port 8888

    Wählen Neu erstellen und setzen Zielhafen Zu 8888.
    Übersetzter Dienst (PAT)

    TCP port 4444

    Wählen Neu erstellen und setzen Zielhafen Zu 4444.
    Eingangsschnittstelle

    Wählen Sie die WAN-Schnittstelle aus.

    In diesem Beispiel ist es Port1.
    Ausgehende Schnittstelle Any

  4. Wählen Loopback-Regel erstellen um den Datenverkehr von internen Benutzern auf die internen Webserver zu übertragen.

  5. Wählen Reflexive Regel erstellen um eine Quell-NAT-Regel zu erstellen, die den Datenverkehr von den Webservern übersetzt.
  6. Wählen Sie eine Lastausgleichsmethode für den Datenverkehr zwischen den Webservern. In diesem Beispiel wählen Sie Round-robin.

  7. Klicken Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    DNAT rule settings.

Erstellen Sie Firewall-Regeln, um Datenverkehr zuzulassen, der der Ziel-NAT-Regel, der Loopback-Regel und der reflexiven NAT-Regel entspricht.

Festlegen der Firewall-Regeleinstellungen für die DNAT-Regel

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln. Protokoll auswählen IPv4 oder IPv6 und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen WAN
    Quellnetzwerke und -geräte Any
    Zielzonen DMZ
    Wählen Sie die Zone aus, die Ihre Webserver enthält.

    Die Sophos Firewall sucht nach der passenden DNAT-Regel für den Datenverkehr. Sie identifiziert die Zone mit dem übersetzten Ziel, in diesem Beispiel DMZ. DMZ wird als Zielzone verwendet, wenn es einer Firewall-Regel entspricht.
    Zielnetzwerke Webserver PublicIPAddress
    Leistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall rule corresponding to the DNAT rule.

Sie haben eine Firewall-Regel erstellt, um Datenverkehr von externen Quellen zu den internen Webservern zuzulassen.

Festlegen der Firewall-Regeleinstellungen für die Loopback-Regel

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln. Protokoll auswählen IPv4 oder IPv6 und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen LAN
    Quellnetzwerke und -geräte Network_LAN
    Zielzonen DMZ
    Zielnetzwerke Webserver PublicIPAddress
    Leistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall loopback rule from LAN to webserver.

Sie haben eine Firewall-Regel erstellt, um Datenverkehr vom internen Netzwerk zu den internen Webservern zuzulassen.

Festlegen der Firewall-Regeleinstellungen für die reflexive NAT-Regel

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln. Protokoll auswählen IPv4 oder IPv6 und wählen Sie Firewallregel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen DMZ
    Quellnetzwerke und -geräte Webserver InternalIPAddressList
    Zielzonen Any
    Zielnetzwerke Any
    Leistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall rule corresponding to the reflexive NAT rule.

Sie haben eine Firewall-Regel erstellt, um Datenverkehr von den internen Webservern zu internen und externen Netzwerken zuzulassen.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung