NAT-Konfigurationen
Die Firewall bietet NAT-Regeln, CLI-Konfiguration und IPsec-NAT-Einstellungen zum Übersetzen verschiedener Datenverkehrstypen.
NAT-Regeln übersetzen weitergeleiteten Datenverkehr. Um systemgenerierten Datenverkehr und Schnittstellenadressen zu übersetzen, müssen Sie die CLI verwenden. Um die lokalen und Remote-Subnetze in Site-to-Site-IPsec-VPNs zu übersetzen, müssen Sie die NAT-Einstellungen in der IPsec-Konfiguration verwenden.
Weitergeleiteter Verkehr
Weitergeleiteter Datenverkehr ist Datenverkehr, der durch die Firewall geht.
NAT-Regeln
Sie können Quell-NAT- (SNAT) und Ziel-NAT- (DNAT) Regeln erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem Sie nicht routbare private IP-Adressen in routbare öffentliche IP-Adressen übersetzen. Sie können NAT-Regeln für IPv4- und IPv6-Netzwerke erstellen.
Sie können Loopback- und Reflexivregeln für eine DNAT-Regel angeben. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, aus der sie erstellt wurden. Das Ändern oder Löschen der ursprünglichen NAT-Regel hat keine Auswirkungen auf sie.
Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewall-Regeln erstellt. Die Sophos Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, um den Datenverkehr für den E-Mail-MTA-Modus abzugleichen.
Sehen Arten von NAT-Regeln.
Site-to-Site-IPsec-Tunnel mit überlappenden Subnetzen
Um den Datenverkehr zwischen sich überlappenden lokalen Subnetzen in Netzwerken an beiden Enden eines Site-to-Site-IPsec-Tunnels zu ermöglichen, müssen Sie die NAT-Einstellungen in Site-to-Site-VPN > IPsec > IPsec-Verbindungen. Sehen Routing und NAT für IPsec-Tunnel.
Diese Anforderung gilt für richtlinienbasierte Tunnel. Sie gilt für routenbasierte VPN-Tunnel, wenn Sie lokale und Remote-Subnetze ausgewählt haben.
Notiz
Um weitergeleiteten Datenverkehr zu übersetzen, der durch routenbasierte IPsec-VPN-Tunnel läuft, wenn Sie die lokalen und Remote-Subnetze mit konfiguriert haben Beliebig, müssen Sie NAT-Regeln verwenden.
Systemgenerierter Datenverkehr und Schnittstellenadresse
Sie können die Quell-IP-Adresse des systemgenerierten Datenverkehrs mithilfe der CLI übersetzen. So können Sie Datenverkehr, der von der Firewall stammt, für Firewall-Dienste wie DHCP und Authentifizierung übersetzen. Standardmäßig nutzt systemgenerierter Datenverkehr den WAN-Link-Load-Balancing.
Sie können den Befehl auch verwenden, um die Quelladressen, einschließlich der Firewall-Schnittstellenadressen, zu übersetzen.
Konfigurationsbeispiele finden Sie unter NAT für systemgenerierten Datenverkehr und Schnittstellen.
Die Firewall gleicht den Datenverkehr in der Reihenfolge ab, in der die NAT-Konfigurationen in der CLI aufgeführt sind. Sie können diese NAT-Konfigurationen mit dem folgenden Befehl anzeigen:
show advanced-firewall
Anwendungsfälle
Im Folgenden sind einige Anwendungsfälle für die Quelltextübersetzung mithilfe der CLI aufgeführt:
-
VPN-Tunnel: Senden Sie systemgenerierten Datenverkehr, wie z. B. DHCP- und Authentifizierungsanforderungen, durch Site-to-Site-IPsec-Tunnel.
-
Mehrere WAN-Verbindungen: Wenn Sie über mehr WAN-Verbindungen als WAN-Schnittstellen in der Firewall verfügen, können Sie Alias-IP-Adressen für die WAN-Verbindungen konfigurieren. Anschließend können Sie die physischen Schnittstellen in die entsprechenden Alias-Adressen übersetzen.
Notiz
Routing-Konfigurationen verwenden immer die Hauptschnittstelle. Um einen Alias als Quell-IP-Adresse zu verwenden, müssen Sie die Schnittstellenadresse in die Aliasadresse übersetzen.
-
E-Mail-Fluss: Übersetzen Sie den E-Mail-Verkehr in die Alias-IP-Adresse, die für die Upstream-Weiterleitung erforderlich ist, oder um die Adresse in MX-Einträgen abzugleichen.
-
Private IP-Adresse:
- Ziel-WAN: Um die interne IP-Adresse privat zu halten, beispielsweise DHCP-Anfragen von einer LAN-Schnittstelle.
- Internes Ziel: Um sicherzustellen, dass bestimmter Datenverkehr eine bestimmte Quell-IP-Adresse hat, beispielsweise in MPLS-Netzwerken.
-
Serverzugriff: Verwenden Sie eine bestimmte Quell-IP-Adresse, um auf bestimmte Webserver zuzugreifen.