Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-add-assistant

Fügen Sie eine DNAT-Regel mit dem Serverzugriffsassistenten hinzu.

Der Serverzugriffsassistent hilft Ihnen beim Erstellen von Destination-NAT-Regeln (DNAT) für eingehenden Datenverkehr zu einem internen Server.

Diese Regeln übersetzen eingehenden Datenverkehr an Server wie Web-, Mail-, SSH- oder andere Server und Remote-Desktops. Der Assistent erstellt automatisch die folgenden Regeln:

  • Inbound-NAT-Regel: Eine DNAT-Regel, die den Datenverkehr von der WAN-Zone zum internen Server übersetzt.
  • Loopback-NAT-Regel: Eine DNAT-Regel, die den Datenverkehr von internen Benutzern zum Server übersetzt.
  • Ausgehende NAT-Regel: Eine SNAT-Regel, die den ausgehenden Datenverkehr vom Server übersetzt. Sie wird in der NAT-Regelkonfiguration als reflexive Regel bezeichnet.
  • Firewall-Regel: Erlaubt eingehenden Datenverkehr zum Server.

Falls Sie spezielle Einstellungen wünschen, können Sie die Regeln später bearbeiten.

Beschränkung

Eine DNAT-Regel und ein gewichteter Lastausgleich können nicht gleichzeitig für denselben DNS-Hosteintrag konfiguriert werden.

Serverzugriffsassistent verwenden

  1. Wählen Sie den Serverzugriffsassistenten aus einer der folgenden Optionen aus:

    • Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6 und klicken NAT-Regel hinzufügen. Wählen Serverzugriffsassistent (DNAT).
    • Gehe zu Regeln und Richtlinien > Firewall-Regeln, Protokoll auswählen IPv4 oder IPv6 und klicken Firewall-Regel hinzufügen. Wählen Serverzugriffsassistent (DNAT).

  2. Einstellungen festlegen:

    • Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6: und klicken Sie NAT-Regel hinzufügen.
    • Gehe zu Regeln und Richtlinien > Firewall-Regeln, wählen IPv4 oder IPv6: und klicken Sie Firewall-Regel hinzufügen.

  3. Wählen Serverzugriffsassistent (DNAT).

  4. Für Interne Server-IP-Adresse: Geben Sie den internen Server an, auf den die Benutzer zugreifen sollen. Verwenden Sie eine der folgenden Optionen:

    • Wählen Sie die IP-Adresse des Servers aus.
    • Geben Sie die IP-Adresse ein, die Sie dem Server zuweisen möchten.

    Die Firewall überprüft die Schnittstelle, über die Benutzer den internen Server erreichen können, und legt die Zone dieser Schnittstelle als diejenige fest, die die Verbindung zum internen Server herstellt. Zielzone: Die Firewall-Regeln verwenden dies als Zielzone, um den Datenverkehr abzugleichen.

  5. Verwenden Sie für die WAN-IP-Adresse eine der folgenden Optionen:

    • Wählen Sie die WAN-Schnittstelle aus.
    • Geben Sie die öffentliche IP-Adresse Ihres Netzwerks ein.

    Notiz

    Um automatisch eine Loopback-DNAT-Regel zu erstellen, wählen Sie eine Firewall-Schnittstelle anstelle einer öffentlichen IP-Adresse aus.

  6. Für Dienstleistungen: Wählen Sie den Dienst des internen Servers (Port- und Protokollkombination) aus.

  7. Für Externe Quellnetzwerke und Geräte, wählen Sie die Quellnetzwerke und -geräte aus, von denen aus Benutzer auf den internen Server zugreifen können.

    Notiz

    Um internen Benutzern den Zugriff auf den Server zu ermöglichen, wählen Sie Folgendes aus: Beliebig: Diese Einstellung ist erforderlich, damit die Firewall eine Loopback-DNAT-Regel erstellen kann.

  8. Überprüfen Sie die Einstellungen und Regeln und klicken Sie dann auf Speichern und fertigstellen.

    Der Assistent fügt die Regeln oben in die NAT- und Firewall-Regeltabellen ein und aktiviert sie standardmäßig.

    Die Namen der reflexiven und Loopback-Regeln enthalten den Namen und die Regel-ID der von Ihnen erstellten DNAT-Regel. Der Firewall-Regelname enthält den Namen der DNAT-Regel.

  9. Ordnen Sie die NAT- und Firewall-Regeln in den entsprechenden Regeltabellen Ihren Anforderungen entsprechend an.

    Die Firewall wertet die Regeln von oben nach unten in der angezeigten Reihenfolge aus, bis sie eine Regel findet, die zum Datenverkehr passt.

Loopback-Regel

Die Firewall erstellt nur dann eine Loopback-DNAT-Regel zur Übersetzung des internen Datenverkehrs zum Server, wenn Sie die folgenden Optionen auswählen:

  • Satz Öffentliche IP-Adresse zur WAN-Schnittstelle. Wenn Sie eine öffentliche IP-Adresse verwenden, gelangt der Datenverkehr über eine beliebige Schnittstelle in die Firewall, und die eingehende Schnittstelle der DNAT-Regel wird auf diese Schnittstelle eingestellt. Beliebig: Wenn eine Loopback-Regel automatisch erstellt wird, hat sie die gleichen Einstellungen für die eingehende Schnittstelle.
  • Satz Externe Quellnetzwerke und Geräte Zu Beliebig: Es umfasst Netzwerke im WAN und interne Zonen.

Die DNAT- und Loopback-Regeln haben dann die gleichen Einstellungen für den Datenverkehrabgleich, und die Firewall wendet die Regel an, die als erste mit dem Datenverkehr übereinstimmt.

Serverzugriffsassistent versus manuelle DNAT-Regeln

Sie können die vom Assistenten erstellten Regeln bearbeiten und bestimmte Einstellungen manuell auswählen. Im Folgenden finden Sie Beispiele für Situationen, in denen Sie die mit dem Serverzugriffsassistenten erstellten Regeln manuell bearbeiten müssen:

  • Die Firewall übersetzt nicht Quellnetzwerke Und Dienstleistungen Sie konfigurieren die Einstellungen im Assistenten. Dadurch wird Folgendes festgelegt: Übersetzter Quelltext Und Übersetzungsdienst Zu Original.
  • Wenn Sie die Ursprüngliches Ziel für eine Alias-IP-Adresse konfiguriert die Firewall ihre physische Schnittstelle als die Übersetzter Quelltext in den SNAT- und Loopback-Regeln. Um stattdessen die Aliasadresse zu verwenden, erstellen Sie einen IP-Host für den Alias und legen Sie ihn manuell als fest. Übersetzter Quelltext.

Notiz

Wenn Sie die Einstellungen der von Ihnen erstellten NAT-Regeln ändern, aktualisieren Sie die erforderlichen Firewall-Regeleinstellungen.

Vergleich der Einstellungen und Optionen

Der Assistent ermöglicht die schnelle und einfache Erstellung von Konfigurationen. Die DNAT-Regel bietet mehr Optionen und erlaubt die Angabe komplexerer Einstellungen.

Die folgende Tabelle zeigt die entsprechenden manuellen Einstellungen für den Assistenten.

Serverzugriffsassistent

DNAT-Regel

(Manuell erstellt)

Interne Server-IP-Adresse

Eine einzelne IP-Adresse oder ein IP-Host.

Übersetztes Ziel

IP-Adresse, IP-Bereich, IP-Liste oder Netzwerk.

Öffentliche IP-Adresse

Eine einzelne IP-Adresse, ein IP-Host oder eine beliebige Schnittstelle.

Ursprüngliches Ziel

Beliebige Schnittstelle oder Host (IP-Adresse, IP-Liste, IP-Bereich, Netzwerk, Land, FQDN, MAC-Adresse oder MAC-Liste).

Dienstleistungen

Standard- und kundenspezifische Dienste. Kundenspezifische Dienste müssen im Voraus erstellt werden.

Um die Portübersetzung zu konfigurieren, bearbeiten Sie die Regeln später und wählen Sie einen Dienst aus unter Übersetzungsdienst.

Originalservice

Standard- und kundenspezifische Dienste. Hier können Sie kundenspezifische Dienste erstellen.

Externe Quellnetzwerke und Geräte

Jeder Host

Originalquelle

Jeder Host, einschließlich Systemhosts.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen