Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-rule-types

Arten von NAT-Regeln

Sie können Source-NAT- (SNAT) und Destination-NAT- (DNAT) Regeln erstellen, einschließlich Portweiterleitungsregeln.

Sie können eine verknüpfte NAT-Regel mit der Firewall-Regelkonfiguration und Loopback- und reflexive Regeln mit einer DNAT-Regelkonfiguration erstellen.

Source NAT

Die Werkskonfiguration enthält eine standardmäßige Source-NAT-Regel (SNAT), bei der die übersetzte Quelle auf festgelegt ist. MASQ.

Notiz

Sie können die Standard-SNAT-Regel löschen (Standard-SNAT IPv4: Diese Regel wird jedoch jedes Mal erneut angezeigt, wenn Sie eine WAN-Schnittstelle erstellen oder aktualisieren. Wir empfehlen, diese Regel zu deaktivieren, falls Sie sie nicht benötigen.

Tipp

Standardmäßig MASQ Eine SNAT-Regel übersetzt die ursprüngliche IP-Adresse in die WAN-IP-Adresse.

Bei routenbasierten VPNs, die mit Beliebig für die lokalen und entfernten Subnetze oder IP-Version eingestellt auf Dual: Die Firewall übersetzt die ursprüngliche Quelle in die XFRM-IP-Adresse für die übersetzte Quelle. MASQ.

Die XFRM-IP-Adresse ist im TCP-Dump und in der Paketaufzeichnung sichtbar. Die IP-Adressen werden wie folgt angezeigt:
WAN-IP-Adresse: Im äußeren IP-Header des gekapselten Pakets.
XFRM IP-Adresse: Im inneren IP-Header der Quelle.

SNAT-Regeln für ausgehenden Datenverkehr ermöglichen internen Clients und Servern den Zugriff auf externe Hosts. Die Sophos Firewall kann die Quell-IP-Adresse mehrerer interner Clients und Server in dieselbe öffentliche IP-Adresse mit unterschiedlichen Portnummern übersetzen. Sie können eine IP-Adresse oder einen IP-Adressbereich als übersetzte Quelle konfigurieren.

Notiz

Wenn Sie einen IP-Adressbereich als übersetzte Quelle konfigurieren, weist die Sophos Firewall die nächste verfügbare IP-Adresse in diesem Bereich zu. Es findet keine 1:1-Übersetzung statt, selbst wenn die Anzahl der IP-Adressen im Bereich für die ursprüngliche und die übersetzte Quelle identisch ist.

Sie können auch interfacespezifisches NAT definieren, um die IP-Adressen eines oder mehrerer interner Hosts in die IP-Adresse zu übersetzen, die Sie für eine ausgehende Schnittstelle angeben.

Sie können keine SNAT-Regel mit einer öffentlichen Schnittstelle erstellen, die Mitglied einer Bridge ist, da Bridge-Mitglieder keiner Zone angehören. Wenn Sie eine öffentliche Schnittstelle als Bridge-Mitglied konfigurieren, werden alle Quell-NAT-Regeln, die diese Schnittstelle verwenden, gelöscht.

Reflexive Regeln

Sie können Spiegel-NAT-Regeln für Ziel-NAT-Regeln erstellen. Dies sind SNAT-Regeln, die die Übereinstimmungskriterien der Zielregel umkehren. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr an einen internen Server weiterzuleiten. Die entsprechende reflexive Regel lässt dann Datenverkehr vom Server zur in der Ziel-NAT-Regel angegebenen Quelle zu.

Wenn das ursprüngliche Ziel keine IP-Adresse ist oder übersetzt wurde, wird die übersetzte Quelle maskiert.

Verknüpfte NAT-Regeln

Beim Erstellen von Firewall-Regeln können Sie verknüpfte NAT-Regeln erstellen. Dies sind SNAT-Regeln, die in der NAT-Regeltabelle angezeigt werden.

Alle Übereinstimmungskriterien einer Firewall-Regel, einschließlich Benutzer und Zeitplan, gelten auch für die zugehörige NAT-Regel. Diese Einstellungen können in der NAT-Regel nicht bearbeitet werden. Sie können lediglich die übersetzten Quellen, einschließlich schnittstellenspezifischer übersetzter Quellen, in einer verknüpften NAT-Regel angeben.

Die Sophos Firewall gleicht verknüpfte NAT-Regeln nur mit Datenverkehr ab, der mit der jeweiligen Firewall-Regel in Zusammenhang steht. Findet sie jedoch eine Übereinstimmung mit einer übergeordneten Regel, werden die Einstellungen der ersten Regel angewendet.

Tipp

Wir empfehlen, keine neuen verknüpften NAT-Regeln zu erstellen, wenn eine generische NAT-Regel den Datenverkehr abdeckt. Erstellen Sie NAT-Regeln stattdessen unabhängig voneinander, um die Konfiguration zu vereinfachen, da Sie weniger NAT-Regeln als Firewall-Regeln benötigen. Beispielsweise benötigen Sie in einer einfachen Umgebung möglicherweise nur eine einzige SNAT-Regel, um ausgehenden Datenverkehr zu maskieren. Sie müssen nicht für jede Firewall-Regel eine separate SNAT-Regel erstellen.

Bereinigen Sie die verknüpften NAT-Regeln in der Regeltabelle.

Die Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewall-Regel verknüpft.

Bei der Migration auf SFOS 18.0 oder höher können zahlreiche verknüpfte NAT-Regeln (Quell-NAT) in der NAT-Regeltabelle erstellt werden. Diese sind mit Firewall-Regeln verknüpft, für die vor der Migration keine NAT-Einstellungen konfiguriert waren oder die NAT benutzer- und zeitplanbasiert implementiert hatten.

Wir haben diese Regeln nicht automatisch bereinigt, um sicherzustellen, dass es nach der Migration keine Verhaltensänderungen gibt. Sie können sie jedoch löschen. Es handelt sich um verknüpfte NAT-Regeln mit folgenden Kriterien:

  • Übersetzter Quelltextsatz MASQ.
  • Verknüpft mit Firewall-Regeln, deren Zielzone nur auf Folgendes festgelegt ist VAN.

Am Ende der Regeltabelle haben wir eine Standard-Quell-NAT-Regel hinzugefügt (Standard-SNAT IPv4 oder Standard-SNAT IPv6: ) mit übersetzter Quelle gesetzt auf MASQ: Die Regel ist standardmäßig deaktiviert. Sie können diese Regel verschieben, um die gelöschten Regeln zu ersetzen und sie zu aktivieren.

In der NAT-Regeltabelle bietet das Feld unterhalb des Regelfiltermenüs die folgenden Optionen für diese verknüpften NAT-Regeln:

  • Verstanden. Regeln nicht löschen.: Die Regeln werden nicht gelöscht. Das Feld wird nicht erneut angezeigt.
  • Verknüpfte NAT-Regeln löschen (nur MASQ; Ziel: WAN): Löscht die verknüpften NAT-Regeln mit der Einstellung „Übersetzte Quelle“. MASQ und verknüpft mit Firewall-Regeln, deren Zielzone nur auf festgelegt ist VAN.
  • Klicken Sie auf die Schaltfläche „X“ oben rechts, um das Feld vorübergehend auszublenden. Es wird beim nächsten Öffnen der Seite wieder angezeigt.

Ziel-NAT

Sie können Destination-NAT-Regeln (DNAT) für eingehenden Datenverkehr erstellen, um externen Hosts den Zugriff auf interne Clients und Server zu ermöglichen. Sie können die Übersetzung von Ihren öffentlichen IP-Adressen zu privaten IP-Adressen für 1:1, n:1, n:m und 1:n festlegen.

Lastausgleich und Ausfallsicherung

Sie können eine Methode zum Lastausgleich für die übersetzten Zielhosts, z. B. Web- oder E-Mail-Server, festlegen. Zur Auswahl stehen Round Robin, First Alive, Random, Sticky IP oder One-to-One.

Notiz

Sie müssen auswählen Gesundheitscheck und geben Sie die Einstellungen an, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.

Rundenturnier

Die Firewall sendet Anfragen nacheinander an jeden Server, beginnend mit dem ersten verfügbaren Server in der Liste. Anschließend leitet sie die nächste Anfrage an den nächsten Server in der Liste weiter usw.

Nutzen Sie diese Funktion, um die Anzahl der Verbindungen gleichmäßig zu verteilen, wenn Sie keine Sitzungspersistenz benötigen.

Beispiel

Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3

Zugewiesene Server:

  • Erste Anfrage: 10.10.10.1
  • Zweite Anfrage: 10.10.10.2
  • Dritte Anfrage: 10.10.10.3
  • Vierte Anfrage: 10.10.10.1

Erster Lebender

Sendet Anfragen an den ersten verfügbaren Server in der Liste. Die Firewall sendet Anfragen nur dann an den nächsten Server, wenn der erste Server nicht mehr verfügbar ist und Sie die Einstellungen für die Integritätsprüfung festgelegt haben.

Verwenden Sie diese Option, wenn Sie alle Anfragen an einen Server mit hoher Bandbreite senden und die anderen Server nur als Backup nutzen möchten.

Beispiel

Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3

Zugewiesene Server: Alle Anfragen werden an 10.10.10.1 gesendet, sofern dieser Server verfügbar ist.

Zufällig

Sendet Anfragen nach dem Zufallsprinzip an die Server.

Beispiel

Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3

Zugewiesene Server: Sendet Anfragen zufällig an die Server.

Sticky IP

Die Firewall berechnet einen Hashwert aus der Quell-IP-Adresse und der ursprünglichen Ziel-IP-Adresse. Anschließend wird mithilfe des Modulo-Operators über die Anzahl der Server die übersetzte Ziel-IP-Adresse für den Hashwert ermittelt. Somit bleibt der Server für ein Quell-Ziel-Paar derselbe.

Wenn der zugewiesene Server nicht verfügbar ist, leitet die Firewall den Datenverkehr an den nächsten verfügbaren Server weiter, bis der zuvor zugewiesene Server wieder verfügbar ist (sofern Sie die Einstellungen für die Zustandsprüfung konfiguriert haben). Die Firewall behält jedoch zustandsbehaftete Verbindungen bei und stellt nur neue Verbindungen zum zuvor nicht verfügbaren Server her.

Verwenden Sie diese Option, wenn Sie Sitzungsspeicherung für Anwendungen wie Warenkörbe und Banktransaktionen benötigen.

Beispiel

Quell-IP-Adresse: 192.168.1.0/24

Ursprüngliches Ziel: 172.16.1.1 bis 172.16.1.4

Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3

Zugewiesene Server: Angenommen, der Modulo eines Hashwerts (Quelle 192.168.1.1 und ursprüngliches Ziel 172.16.1.1) verweist auf 10.10.10.3. Anfragen von dieser Quelle an dieses ursprüngliche Ziel werden immer an 10.10.10.3 gesendet, solange der Server verfügbar ist.

Eins-zu-eins

Führt eine Eins-zu-Eins-Zuordnung der ursprünglichen und der übersetzten Ziel-IP-Adressen in der angegebenen Reihenfolge durch und sendet Anfragen entsprechend dieser Zuordnung an die Server.

Beispielsweise leitet die Firewall Anfragen, die das erste ursprüngliche Ziel erreichen, immer an das erste übersetzte Ziel in der Liste weiter.

Um die Regel zu speichern, stellen Sie sicher, dass die ursprünglichen und die übersetzten Ziele die gleiche Anzahl an IP-Adressen aufweisen.

Beispiel

Ursprüngliches Ziel: 172.16.1.1 bis 172.16.1.3

Übersetztes Ziel: 10.10.10.1 bis 10.10.10.3

Zugewiesene Server:

  • Anfragen an 172.16.1.1 werden an 10.10.10.1 weitergeleitet.
  • Anfragen an 172.16.1.2 werden an 10.10.10.2 weitergeleitet.
  • Anfragen an 172.16.1.3 werden an 10.10.10.3 weitergeleitet.

Loopback-Regeln

Sie können Loopback-Regeln aus Ziel-NAT-Regeln erstellen, um internen Hosts die Kommunikation untereinander über die externe IP-Adresse oder den Domänennamen zu ermöglichen. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr zu Ihren Servern zu übersetzen, und erstellen Sie eine Loopback-Regel.

Um eine Loopback-Regel zu erstellen, geben Sie die folgenden Kriterien für die Ziel-NAT-Regel an:

  • Ursprüngliche Quelle: Beliebig
  • Übersetzte Quelle: MASQ
  • Übersetztes Ziel: Nicht auf Original festlegen.

Portweiterleitung

Die Sophos Firewall implementiert Portweiterleitung mit Dienstübersetzung. Dienste sind eine Kombination aus Protokollen und Ports. Das übersetzte Protokoll muss mit dem Originalprotokoll übereinstimmen.

Die Sophos Firewall unterstützt 1:1-, n:1- und n:m-Übersetzungen. Bei n:m-Übersetzungen müssen die Ports für den ursprünglichen und den übersetzten Dienst übereinstimmen.

Notiz

Die Web-Administrationskonsole der Sophos Firewall und das Benutzerportal sind über HTTPS über die Standardports 4444 bzw. 443 erreichbar. Wenn Ihre öffentlichen IP-Adressen mit HTTPS-Portweiterleitung zu internen Webservern konfiguriert sind, gehen Sie zu Verwaltung > Administratoreinstellungen und ungenutzte Ports angeben für HTTPS-Port der Admin-Konsole Und Benutzerportal HTTPS-Port: Alternativ können Sie einen anderen Port für Ihre Webserver angeben.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen