Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-traffic-processing

Wie NAT-Konfigurationen verarbeitet werden

Firewall-Regeln erlauben oder unterbinden ein- und ausgehenden Datenverkehr im Netzwerk. NAT-Regeln übersetzen IP-Adressen für den von der Firewall-Regel zugelassenen Datenverkehr. Daher müssen Sie Firewall-Regeln erstellen, auch wenn Sie NAT-Regeln erstellt haben.

NAT- und Firewall-Regeln

Wenn die Sophos Firewall keine Firewall-Regel findet, die den Datenverkehrskriterien entspricht, wird der Datenverkehr verworfen und das Ereignis protokolliert. Wenn keine passende NAT-Regel gefunden wird, wird der Datenverkehr zwar zugelassen, die IP-Adresse wird jedoch nicht übersetzt.

Bei NAT-Regeln sind die Übereinstimmungskriterien die ursprüngliche (vor NAT) Quelle, das Ziel und der Dienst sowie die eingehenden und ausgehenden Schnittstellen.

Die Reihenfolge, in der Sophos Firewall NAT- und Firewall-Regeln sucht und anwendet, ist wie folgt:

  • Ausgehender Datenverkehr: Sophos Firewall wendet zuerst die Firewall-Regel und dann die SNAT-Regel an.

  • Eingehender Datenverkehr: Die Sophos Firewall sucht zunächst anhand der DNAT-Regel nach dem übersetzten (Post-NAT-)Ziel. Anschließend gleicht sie die Firewall-Regel anhand der Quell- und Zielzonen, der Quell- und Zielnetzwerke, der Dienste und des Zeitplans ab. Als Zielzone wird die Zone verwendet, zu der das übersetzte (Post-NAT-)Ziel gehört.

    Beispiel

    Für den Datenverkehr aus den WAN- oder LAN-Zonen zu Ihrem Webserver in der DMZ können Sie eine DNAT-Regel erstellen, um Ihre öffentliche IP-Adresse (ursprüngliches Ziel) in die IP-Adresse des Webservers (übersetztes Ziel) zu übersetzen.

    Wenn Pakete eintreffen, sucht die Sophos Firewall nach der DNAT-Regel. Sie identifiziert die Zone mit dem von Ihnen angegebenen übersetzten Ziel. In diesem Beispiel wird DMZ als Zielzone identifiziert.

    Um eine Firewall-Regel zu erstellen, die diesem Datenverkehr entspricht, müssen Sie die Zielzone auf DMZ festlegen.

    Ein Beispiel zum Erstellen einer DNAT-Regel und der entsprechenden Firewall-Regel finden Sie unter Erstellen Sie DNAT- und Firewall-Regeln für interne Server.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung