Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-add

Fügen Sie eine NAT-Regel hinzu

Sie können NAT-Regeln erstellen, um die IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken zu ändern, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk.

Sie können Quell-NAT-Regeln für Datenverkehr von der angegebenen Quelladresse und Ziel-NAT-Regeln für Datenverkehr zur angegebenen Zieladresse festlegen. Außerdem können Sie Loopback-Richtlinien definieren, um Datenverkehr von internen Quellen zu internen Servern zu übersetzen.

Um eine Source-NAT-Regel (SNAT) zu erstellen, müssen die ursprüngliche und die übersetzte Quelle sowie die eingehenden und ausgehenden Schnittstellen angegeben werden.

Um eine Destination-NAT-Regel (DNAT) zu erstellen, geben Sie die ursprünglichen und übersetzten Ziele und Dienste sowie die eingehenden und ausgehenden Schnittstellen an. Mit DNAT-Regeln können Sie Lastausgleich und Failover für interne Server erzwingen. Sie müssen die Gesundheitscheck Einstellungen, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln, wählen IPv4 oder IPv6 und klicken NAT-Regel hinzufügen: Die
    Die Regel ist standardmäßig aktiviert.

  2. Geben Sie die Regeldetails ein.

    Name Beschreibung
    Regelname Geben Sie einen Namen ein.
    Regelposition

    Geben Sie die Position der Regel in der Regeltabelle an:

    • Spitze
    • Unten
    Die Sophos Firewall wertet die Regeln in der angegebenen Reihenfolge aus, bis eine Übereinstimmung gefunden wird, und prüft anschließend keine weiteren Regeln. Um die Reihenfolge der Regeln später zu ändern, können Sie die gewünschte Regel in der Regeltabelle per Drag & Drop verschieben.

  3. Legen Sie die Übersetzungseinstellungen für Quelle, Ziel, Dienste und Schnittstellen so fest, dass sie dem Datenverkehr entsprechen, der über Schnittstellen und VPN-Tunnel fließt.

    Ursprüngliche Quelle, Ziel und Dienst sind die vor der NAT-Transformation definierten Datenverkehrselemente, wenn der Datenverkehr in die Sophos Firewall eintritt. Übersetzte Quelle, Ziel und Dienste sind die nach der NAT-Transformation definierten Datenverkehrselemente, wenn der Datenverkehr die Sophos Firewall verlässt. Sie können die ursprüngliche Quelle, das ursprüngliche Ziel und die Dienste auswählen oder neue erstellen.

    Name Beschreibung
    Originalquelle Geben Sie die Quellobjekte vor der NAT-Übertragung für ausgehenden Datenverkehr an. Um eine eingehende NAT-Regel zu erstellen, wenn die eingehende IP-Adresse unbekannt ist, wählen Sie „Beliebig“.
    Übersetzter Quelltext (SNAT)

    Die IP-Adressen der ursprünglichen Quellobjekte werden in die von Ihnen angegebenen IP-Adressen übersetzt. Verwenden Sie dies, um Source-NAT (SNAT) für ausgehenden Datenverkehr durchzuführen.

    Um den Verkehr zu verschleiern, wählen Sie MASQ: Standardmäßig übersetzt Masquerading die ursprüngliche IP-Adresse in die IP-Adresse der ausgehenden Schnittstelle. Bei routenbasierten VPNs, die mit … konfiguriert sind, … Beliebig für die lokalen und entfernten Subnetze oder IP-Version eingestellt auf Dual: Die Firewall übersetzt die ursprüngliche Quelle in die XFRM-IP-Adresse für die übersetzte Quelle. MASQ.

    Um eine eingehende NAT-Regel zu erstellen, wählen Sie „Original“.
    Ursprüngliches Ziel Geben Sie die Zielobjekte für eingehenden Datenverkehr vor der NAT-Übertragung an. Um eine ausgehende NAT-Regel zu erstellen, wählen Sie „Beliebig“.
    Übersetztes Ziel (DNAT) Die IP-Adressen der Zielobjekte werden in die von Ihnen angegebenen IP-Adressen oder FQDNs übersetzt. Um eine ausgehende NAT-Regel zu erstellen, wählen Sie „Original“ aus.
    Originalservice Geben Sie die Pre-NAT-Dienste an. Dienste sind eine Kombination aus Protokollen und Ports. Um eine ausgehende NAT-Regel zu erstellen, wird diese Option in der Regel auf „Beliebig“ gesetzt.
    Übersetzungsdienst (PAT) Die ursprünglichen Dienste werden in die von Ihnen angegebenen Dienste übersetzt. Verwenden Sie dies für die Portadressübersetzung (PAT). Wenn Sie mehr als einen ursprünglichen Dienst angegeben oder die Einstellung auf „false“ gesetzt haben, … Beliebig, stellen Sie den Übersetzungsdienst auf Original ein.

    Das übersetzte Protokoll muss mit dem Originalprotokoll übereinstimmen. Sie können die ursprünglichen Service-Ports auf einen oder mehrere übersetzte Service-Ports übersetzen.

    Damit können Sie den Datenverkehr an interne Server weiterleiten, beispielsweise indem Sie den TCP-Port 443 angeben, um eingehenden HTTPS-Datenverkehr an einen internen Webserver weiterzuleiten.
    Eingehende Schnittstelle Wählen Sie die Schnittstellen aus, über die der in dieser Regel angegebene Datenverkehr in die Sophos Firewall gelangt.

    Für das Ziel-NAT können Sie "Beliebig" angeben.

    Stellen Sie für VPNs diese Schnittstelle auf "Beliebig" ein, da VPNs keine Schnittstellen sind.
    Ausgehende Schnittstelle Wählen Sie die Schnittstellen aus, über die der in dieser Regel angegebene Datenverkehr die Sophos Firewall verlässt.

    Für VPNs und Ziel-NAT-Regeln, die öffentliche IP-Adressen in private IP-Adressen übersetzen, stellen Sie diese Schnittstelle auf "Beliebig" ein.

  4. Wählen Quelltextübersetzung für bestimmte ausgehende Schnittstellen überschreiben Schnittstellenspezifische Quelltextübersetzung anwenden. Diese Option gilt nur für Quell-NAT-Regeln.

    1. Wählen Sie eine Option aus in Ausgehende Schnittstelle Und Übersetzter Quelltext (SNAT): Um mehrere auszuwählen, wählen Sie „Erweitern“. Expand button..

  5. Wählen Loopback-Regel erstellen um internen Hosts den Zugriff auf andere interne Hosts, beispielsweise Server, zu ermöglichen.

  6. Wählen Reflexive Regel erstellen um eine Spiegelregel zu erstellen, die die Übereinstimmungskriterien der Regel umkehrt, von der sie erstellt wurde.

    Notiz

    Sie können Loopback- und Reflexivregeln für Ziel-NAT-Regeln erstellen. Diese werden anhand der ursprünglichen NAT-Regel-ID und des Namens erstellt. Änderungen an den ursprünglichen NAT-Regeleinstellungen wirken sich nicht auf die Einstellungen der Loopback- und Reflexivregeln aus.

  7. Wählen Sie eine Lastverteilungsmethode Aus den folgenden Optionen können Anfragen an die internen Hosts (übersetztes Ziel) gesendet werden:

    • Rundenturnier: Sendet Anfragen nacheinander an jeden Server.
    • Erster Lebender: Sendet Anfragen an den ersten verfügbaren Server.
    • Zufällig: Sendet Anfragen zufällig an die Server.
    • Sticky IP: Die Anfrage wird anhand des Hashwerts der Quell- und Ziel-IP-Adresse an einen Server gesendet. Durch die Zuordnung von Quell- und Zieladresse kann die Firewall Anfragen an denselben Server senden und so die Sitzungskontinuität aufrechterhalten.
    • Eins-zu-eins: Führt eine Eins-zu-Eins-Zuordnung der ursprünglichen und der übersetzten Ziel-IP-Adressen in der angegebenen Reihenfolge durch und sendet Anfragen entsprechend dieser Zuordnung. Um die Regel zu speichern, stellen Sie sicher, dass die ursprünglichen und die übersetzten Ziele die gleiche Anzahl an IP-Adressen aufweisen.

    Sehen Lastausgleich und Ausfallsicherung.

    Notiz

    Sie müssen auswählen Gesundheitscheck und geben Sie die Einstellungen an, wenn die Firewall feststellen soll, ob ein Server verfügbar ist.

    Wenn Sie die Einstellungen für die Integritätsprüfung nicht auswählen, geht die Firewall davon aus, dass alle Server verfügbar sind, und kann den Datenverkehr an einen nicht verfügbaren Server senden, was zu Paketverlusten führt.

  8. Wählen Gesundheitscheck Um Anfragen nur an die aktiven Server zu senden und ein Server-Failover zu erzwingen, legen Sie das Prüfintervall, das Antwort-Timeout und die Anzahl der Wiederholungsversuche fest, nach denen der Host deaktiviert werden soll.

    Die Gesundheitsprüfung wird standardmäßig erzwungen für Erster Lebender NAT-Methode.

    1. Wählen Sie die Prüfmethode. Sie können zwischen ICMP (Ping) und TCP wählen.
    2. Geben Sie den Port ein, über den geprüft werden soll.
    3. Legen Sie das Prüfintervall fest. Es handelt sich um das Intervall zwischen den Integritätsprüfungen.
    4. Legen Sie das Antwort-Timeout fest. Der Server muss innerhalb dieses Zeitraums antworten, um als aktiv zu gelten.
    5. Für Host deaktivieren nach: Geben Sie die Anzahl der Wiederholungsversuche an.

  9. Klicken Speichern.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen