Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-create-internal-servers

Erstellen Sie eine Port Address Translation (PAT)-Regel für den Datenverkehr zu internen Servern.

Dieses Beispiel zeigt, wie man eine Many-to-Many-Ziel-NAT-Regel mit Portübersetzung für eingehenden Datenverkehr zu internen Servern erstellt. Außerdem wird gezeigt, wie man Firewall-Regeln erstellt, um diesen Datenverkehr zuzulassen.

Ziele

Nach Abschluss dieser Lerneinheit werden Sie Folgendes können:

  • Erstellen Sie eine Destination-NAT-Regel, um den Datenverkehr von externen Quellen zu den internen Servern zu übersetzen.
  • Legen Sie eine Loopback-NAT-Regel fest, um den Datenverkehr von internen Quellen zu den internen Servern zu übersetzen.
  • Legen Sie eine reflexive NAT-Regel fest, um den Datenverkehr von den Servern zu übersetzen. Dies ist eine Quell-NAT-Regel für die internen Server.
  • Lastverteilung des Datenverkehrs auf die internen Server.

DNAT-Netzwerkdiagramm

Destination-NAT wird typischerweise verwendet, um eingehenden Datenverkehr, der die WAN-IP-Adressen erreicht, zu übersetzen. Die folgenden Netzwerkinformationen dienen der Veranschaulichung:

  • IP-Adresse der Webserver vor der NAT-Authentifizierung: 11.8.9.28
  • Post-NAT-IP-Adressen von Webservern: 10.145.15.42, 10.145.15.114

Network diagram: Internal web servers.

Hier ein Beispiel:

  • Ziel-NAT von externen Quellen zu internen Webservern mit Portübersetzung: Any Zu Web server public IP address (11.8.9.28) übersetzt nach Web server internal IP list (10.145.15.42, 10.145.15.114) mit Portübersetzung von TCP 8888 Zu TCP 4444.
  • Loopback-Regel zur Weiterleitung des Datenverkehrs von internen Quellen zu internen Webservern: Network LAN (10.145.16.10/24) Zu Web server public IP address (11.8.9.28) übersetzt nach Web server internal IP list (10.145.15.42, 10.145.15.114) mit Portübersetzung von TCP 8888 Zu TCP 4444.
  • Reflexive Regel zur Übersetzung des Datenverkehrs vom Webserver zu externen und internen Zielen: Web server internal IP list (10.145.15.42, 10.145.15.114) Zu Any.
  • Lastverteilungsmethode für die Webserver.
  • Firewall-Regel, die den Datenverkehr von externen Netzwerken zu den internen Webservern in der DMZ zulässt.
  • Firewall-Regel zur Zulassung von Datenverkehr vom internen Netzwerk zu den internen Webservern.
  • Firewall-Regel, die den Datenverkehr von den internen Webservern zu jedem Netzwerk zulässt.

Legen Sie die NAT-Regeleinstellungen fest.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6: und klicken Sie NAT-Regel hinzufügen > Neue NAT-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. In diesem Beispiel werden die Übersetzungseinstellungen für den eingehenden Datenverkehr zu den Webservern festgelegt:

    Einstellung Wert
    Originalquelle Any
    Übersetzter Quelltext (SNAT) MASQ
    Ursprüngliches Ziel Webserver_PublicIPAddress
    Übersetztes Ziel (DNAT) Webserver_InternalIPAddressList
    Originalservice

    TCP port 8888

    Wählen Neu erstellen und setzen Zielhafen Zu 8888.
    Übersetzungsdienst (PAT)

    TCP port 4444

    Wählen Neu erstellen und setzen Zielhafen Zu 4444.
    Eingehende Schnittstelle

    Wählen Sie die WAN-Schnittstelle aus.

    In diesem Beispiel ist es Port1.
    Ausgehende Schnittstelle Any

  4. Wählen Loopback-Regel erstellen um den Datenverkehr von internen Benutzern zu den internen Webservern zu übersetzen.

  5. Wählen Reflexive Regel erstellen um eine Source-NAT-Regel zu erstellen, die den Datenverkehr von den Webservern übersetzt.
  6. Wählen Sie eine Load-Balancing-Methode, um den Datenverkehr zwischen den Webservern zu verteilen. In diesem Beispiel wählen Sie aus Round-robin.

  7. Klicken Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    DNAT rule settings.

Erstellen Sie Firewall-Regeln, um Datenverkehr zuzulassen, der der Ziel-NAT-Regel, der Loopback-Regel und der reflexiven NAT-Regel entspricht.

Firewall-Regeleinstellungen für die DNAT-Regel festlegen

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln: Protokoll auswählen IPv4 oder IPv6 und auswählen Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen WAN
    Quellnetzwerke und Geräte Any
    Zielzonen DMZ
    Wählen Sie die Zone aus, die Ihre Webserver enthält.

    Die Sophos Firewall sucht die passende DNAT-Regel für den Datenverkehr. Sie ermittelt die Zone, die das übersetzte Ziel enthält, in diesem Beispiel die DMZ. Bei Übereinstimmung mit einer Firewall-Regel verwendet sie die DMZ als Zielzone.
    Zielnetzwerke Webserver PublicIPAddress
    Dienstleistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall rule corresponding to the DNAT rule.

Sie haben eine Firewall-Regel erstellt, um Datenverkehr von externen Quellen zu den internen Webservern zuzulassen.

Firewall-Regeleinstellungen für die Loopback-Regel festlegen

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln: Protokoll auswählen IPv4 oder IPv6 und auswählen Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen LAN
    Quellnetzwerke und Geräte Network_LAN
    Zielzonen DMZ
    Zielnetzwerke Webserver PublicIPAddress
    Dienstleistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall loopback rule from LAN to webserver.

Sie haben eine Firewall-Regel erstellt, um Datenverkehr vom internen Netzwerk zu den internen Webservern zuzulassen.

Firewall-Regeleinstellungen für reflexive NAT-Regel festlegen

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln: Protokoll auswählen IPv4 oder IPv6 und auswählen Firewall-Regel hinzufügen. Wählen Neue Firewall-Regel.
  2. Geben Sie den Regelnamen und die Regelposition an.

  3. Geben Sie Quelle, Ziel und Dienste wie folgt an:

    Einstellung Wert
    Quellzonen DMZ
    Quellnetzwerke und Geräte Webserver InternalIPAddressList
    Zielzonen Any
    Zielnetzwerke Any
    Dienstleistungen TCP port 8888, TCP port 4444

  4. Geben Sie die Sicherheitseinstellungen an und klicken Sie auf Speichern.

    Das folgende Bild zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewall rule corresponding to the reflexive NAT rule.

Sie haben eine Firewall-Regel erstellt, um den Datenverkehr von den internen Webservern zu internen und externen Netzwerken zu ermöglichen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen