Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-configurations

NAT-Konfigurationen

Die Firewall bietet NAT-Regeln, CLI-Konfiguration und IPsec-NAT-Einstellungen zum Übersetzen verschiedener Datenverkehrstypen.

NAT-Regeln übersetzen weitergeleiteten Datenverkehr. Um systemgenerierten Datenverkehr und Schnittstellenadressen zu übersetzen, müssen Sie die CLI verwenden. Um die lokalen und Remote-Subnetze in Site-to-Site-IPsec-VPNs zu übersetzen, müssen Sie die NAT-Einstellungen in der IPsec-Konfiguration verwenden.

Weitergeleiteter Verkehr

Weitergeleiteter Datenverkehr ist Datenverkehr, der durch die Firewall geht.

NAT-Regeln

Sie können Quell-NAT- (SNAT) und Ziel-NAT- (DNAT) Regeln erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem Sie nicht routbare private IP-Adressen in routbare öffentliche IP-Adressen übersetzen. Sie können NAT-Regeln für IPv4- und IPv6-Netzwerke erstellen.

Sie können Loopback- und Reflexivregeln für eine DNAT-Regel angeben. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, aus der sie erstellt wurden. Das Ändern oder Löschen der ursprünglichen NAT-Regel hat keine Auswirkungen auf sie.

Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewall-Regeln erstellt. Die Sophos Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, um den Datenverkehr für den E-Mail-MTA-Modus abzugleichen.

Sehen Arten von NAT-Regeln.

Site-to-Site-IPsec-Tunnel mit überlappenden Subnetzen

Um den Datenverkehr zwischen sich überlappenden lokalen Subnetzen in Netzwerken an beiden Enden eines Site-to-Site-IPsec-Tunnels zu ermöglichen, müssen Sie die NAT-Einstellungen in Site-to-Site-VPN > IPsec > IPsec-Verbindungen. Sehen Routing und NAT für IPsec-Tunnel.

Diese Anforderung gilt für richtlinienbasierte Tunnel. Sie gilt für routenbasierte VPN-Tunnel, wenn Sie lokale und Remote-Subnetze ausgewählt haben.

Notiz

Um weitergeleiteten Datenverkehr zu übersetzen, der durch routenbasierte IPsec-VPN-Tunnel läuft, wenn Sie die lokalen und Remote-Subnetze mit konfiguriert haben Beliebig, müssen Sie NAT-Regeln verwenden.

Systemgenerierter Datenverkehr und Schnittstellenadresse

Sie können die Quell-IP-Adresse des systemgenerierten Datenverkehrs mithilfe der CLI übersetzen. So können Sie Datenverkehr, der von der Firewall stammt, für Firewall-Dienste wie DHCP und Authentifizierung übersetzen. Standardmäßig nutzt systemgenerierter Datenverkehr den WAN-Link-Load-Balancing.

Sie können den Befehl auch verwenden, um die Quelladressen, einschließlich der Firewall-Schnittstellenadressen, zu übersetzen.

Konfigurationsbeispiele finden Sie unter NAT für systemgenerierten Datenverkehr und Schnittstellen.

Die Firewall gleicht den Datenverkehr in der Reihenfolge ab, in der die NAT-Konfigurationen in der CLI aufgeführt sind. Sie können diese NAT-Konfigurationen mit dem folgenden Befehl anzeigen:

show advanced-firewall

Anwendungsfälle

Im Folgenden sind einige Anwendungsfälle für die Quelltextübersetzung mithilfe der CLI aufgeführt:

  • VPN-Tunnel: Senden Sie systemgenerierten Datenverkehr, wie z. B. DHCP- und Authentifizierungsanforderungen, durch Site-to-Site-IPsec-Tunnel.

  • Mehrere WAN-Verbindungen: Wenn Sie über mehr WAN-Verbindungen als WAN-Schnittstellen in der Firewall verfügen, können Sie Alias-IP-Adressen für die WAN-Verbindungen konfigurieren. Anschließend können Sie die physischen Schnittstellen in die entsprechenden Alias-Adressen übersetzen.

    Notiz

    Routing-Konfigurationen verwenden immer die Hauptschnittstelle. Um einen Alias als Quell-IP-Adresse zu verwenden, müssen Sie die Schnittstellenadresse in die Aliasadresse übersetzen.

  • E-Mail-Fluss: Übersetzen Sie den E-Mail-Verkehr in die Alias-IP-Adresse, die für die Upstream-Weiterleitung erforderlich ist, oder um die Adresse in MX-Einträgen abzugleichen.

  • Private IP-Adresse:

    • Ziel-WAN: Um die interne IP-Adresse privat zu halten, beispielsweise DHCP-Anfragen von einer LAN-Schnittstelle.
    • Internes Ziel: Um sicherzustellen, dass bestimmter Datenverkehr eine bestimmte Quell-IP-Adresse hat, beispielsweise in MPLS-Netzwerken.

  • Serverzugriff: Verwenden Sie eine bestimmte Quell-IP-Adresse, um auf bestimmte Webserver zuzugreifen.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung