Wie NAT-Konfigurationen verarbeitet werden
Firewall-Regeln erlauben oder unterbinden ein- und ausgehenden Datenverkehr im Netzwerk. NAT-Regeln übersetzen IP-Adressen für den von der Firewall-Regel zugelassenen Datenverkehr. Daher müssen Sie Firewall-Regeln erstellen, auch wenn Sie NAT-Regeln erstellt haben.
NAT- und Firewall-Regeln
Wenn die Sophos Firewall keine Firewall-Regel findet, die den Datenverkehrskriterien entspricht, wird der Datenverkehr verworfen und das Ereignis protokolliert. Wenn keine passende NAT-Regel gefunden wird, wird der Datenverkehr zwar zugelassen, die IP-Adresse wird jedoch nicht übersetzt.
Bei NAT-Regeln sind die Übereinstimmungskriterien die ursprüngliche (vor NAT) Quelle, das Ziel und der Dienst sowie die eingehenden und ausgehenden Schnittstellen.
Die Reihenfolge, in der Sophos Firewall NAT- und Firewall-Regeln sucht und anwendet, ist wie folgt:
- Ausgehender Datenverkehr: Sophos Firewall wendet zuerst die Firewall-Regel und dann die SNAT-Regel an.
-
Eingehender Datenverkehr: Die Sophos Firewall sucht zunächst anhand der DNAT-Regel nach dem übersetzten (Post-NAT-)Ziel. Anschließend gleicht sie die Firewall-Regel anhand der Quell- und Zielzonen, der Quell- und Zielnetzwerke, der Dienste und des Zeitplans ab. Als Zielzone wird die Zone verwendet, zu der das übersetzte (Post-NAT-)Ziel gehört.
Beispiel
Für den Datenverkehr aus den WAN- oder LAN-Zonen zu Ihrem Webserver in der DMZ können Sie eine DNAT-Regel erstellen, um Ihre öffentliche IP-Adresse (ursprüngliches Ziel) in die IP-Adresse des Webservers (übersetztes Ziel) zu übersetzen.
Wenn Pakete eintreffen, sucht die Sophos Firewall nach der DNAT-Regel. Sie identifiziert die Zone mit dem von Ihnen angegebenen übersetzten Ziel. In diesem Beispiel wird DMZ als Zielzone identifiziert.
Um eine Firewall-Regel zu erstellen, die diesem Datenverkehr entspricht, müssen Sie die Zielzone auf DMZ festlegen.
Ein Beispiel zum Erstellen einer DNAT-Regel und der entsprechenden Firewall-Regel finden Sie unter Erstellen Sie DNAT- und Firewall-Regeln für interne Server.