Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-NAT-configurations

NAT-Konfigurationen

Die Firewall bietet NAT-Regeln, CLI-Konfiguration und IPsec-NAT-Einstellungen zur Übersetzung verschiedener Arten von Datenverkehr.

NAT-Regeln übersetzen weitergeleiteten Datenverkehr. Zur Übersetzung von systemgeneriertem Datenverkehr und Schnittstellenadressen muss die Befehlszeilenschnittstelle (CLI) verwendet werden. Zur Übersetzung der lokalen und entfernten Subnetze in Site-to-Site-IPsec-VPNs müssen die NAT-Einstellungen in der IPsec-Konfiguration verwendet werden.

Weitergeleiteter Datenverkehr

Weitergeleiteter Datenverkehr ist Datenverkehr, der die Firewall passiert.

NAT-Regeln

Sie können Source-NAT- (SNAT) und Destination-NAT-Regeln (DNAT) erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem nicht routingfähige private IP-Adressen in routingfähige öffentliche IP-Adressen übersetzt werden. NAT-Regeln können sowohl für IPv4- als auch für IPv6-Netzwerke erstellt werden.

Sie können Loopback- und Reflexivregeln für eine DNAT-Regel festlegen. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, von der sie erstellt wurden. Änderungen oder Löschungen der ursprünglichen NAT-Regel haben keine Auswirkungen auf sie.

Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewall-Regeln erstellt. Die Sophos Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, um den Datenverkehr im E-Mail-MTA-Modus abzugleichen.

Sehen Arten von NAT-Regeln.

Site-to-Site-IPsec-Tunnel mit überlappenden Subnetzen

Um den Datenverkehr zwischen sich überlappenden lokalen Subnetzen in Netzwerken an beiden Enden eines Site-to-Site-IPsec-Tunnels zu ermöglichen, müssen Sie die NAT-Einstellungen konfigurieren in Site-to-Site-VPN > IPsec > IPsec-Verbindungen. Sehen Routing und NAT für IPsec-Tunnel.

Diese Anforderung gilt für richtlinienbasierte Tunnel. Sie gilt auch für routenbasierte VPN-Tunnel, wenn Sie lokale und entfernte Subnetze ausgewählt haben.

Notiz

Um weitergeleiteten Datenverkehr, der durch routenbasierte IPsec-VPN-Tunnel geleitet wird, zu übersetzen, wenn Sie die lokalen und Remote-Subnetze mit konfiguriert haben Beliebig: Sie müssen NAT-Regeln verwenden.

Systemgenerierter Datenverkehr und Schnittstellenadresse

Sie können die Quell-IP-Adresse des systemgenerierten Datenverkehrs über die Befehlszeilenschnittstelle (CLI) auflösen. So können Sie Datenverkehr, der von der Firewall für Firewall-Dienste wie DHCP und Authentifizierung stammt, umleiten. Standardmäßig verwendet systemgenerierter Datenverkehr den WAN-Link-Load-Balancing-Prozess.

Mit diesem Befehl können Sie auch die Quelladressen übersetzen, einschließlich der Firewall-Schnittstellenadressen.

Beispiele für die Konfiguration finden Sie unter NAT für systemgenerierten Datenverkehr und Schnittstellen.

Die Firewall verarbeitet den Datenverkehr in der Reihenfolge, in der die NAT-Konfigurationen in der Befehlszeile (CLI) aufgelistet sind. Sie können diese NAT-Konfigurationen mit folgendem Befehl anzeigen:

show advanced-firewall

Anwendungsfälle

Nachfolgend einige Anwendungsfälle für die Quelltextübersetzung mithilfe der Befehlszeilenschnittstelle:

  • VPN-Tunnel: Systemgenerierter Datenverkehr, wie z. B. DHCP- und Authentifizierungsanfragen, wird über Site-to-Site-IPsec-Tunnel geleitet.

  • Mehrere WAN-Verbindungen: Wenn Sie mehr WAN-Verbindungen als WAN-Schnittstellen in der Firewall haben, können Sie Alias-IP-Adressen für die WAN-Verbindungen konfigurieren. Anschließend können Sie die physischen Schnittstellen den entsprechenden Alias-Adressen zuordnen.

    Notiz

    Routing-Konfigurationen verwenden immer die Hauptschnittstelle. Um einen Alias als Quell-IP-Adresse zu verwenden, müssen Sie die Schnittstellenadresse in die Aliasadresse übersetzen.

  • E-Mail-Verkehr: Übersetzung des E-Mail-Verkehrs an die für die Upstream-Weiterleitung erforderliche Alias-IP-Adresse oder an die Adresse in den MX-Einträgen.

  • Private IP-Adresse:

    • Ziel-WAN: Um die interne IP-Adresse geheim zu halten, z. B. bei DHCP-Anfragen von einer LAN-Schnittstelle.
    • Internes Ziel: Um sicherzustellen, dass ein bestimmter Datenverkehr eine spezifische Quell-IP-Adresse hat, beispielsweise in MPLS-Netzwerken.

  • Serverzugriff: Verwenden Sie eine spezifische Quell-IP-Adresse, um auf bestimmte Webserver zuzugreifen.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen