Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

NAT

02.12.16 00:00

DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT (Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle Fälle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung initiiert hat. Das Gegenstück hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt. DNAT ist besonders nützlich, wenn ein internes Netzwerk private IP-Adressen verwendet und der Administrator einige Dienste von außen zugänglich machen will.

Das lässt sich am besten anhand eines Beispiels verdeutlichen: Ein Webserver mit der IP-Adresse 192.168.0.20, Port 80, der in einem privaten Netzwerk mit dem Adressraum 192.168.0.0/255.255.255.0 steht, soll für Clients aus dem Internet erreichbar sein. Da der Adressraum 192.168. privat ist, können Internet-basierte Clients Pakete nicht direkt an den Webserver schicken. Sie können aber mit der externen (öffentlichen) Adresse der UTM kommunizieren. DNAT kann in diesem Fall Pakete an Port 80 der Firewall annehmen und diese zum internen Webserver weiterleiten.

Hinweis – PPTP-VPN-Zugang ist nicht kompatibel mit DNAT.

Im Gegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primären Netzwerkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-Regel angegeben ist.

1:1-NAT ist ein Spezialfall von DNAT oder SNAT. In diesem Fall werden sämtliche Adressen eines Netzwerks 1:1 in die Adressen eines anderen Netzwerks mit der gleichen Netzmaske übersetzt. Die erste Adresse des ursprünglichen Netzwerks wird also in die erste Adresse des anderen Netzwerks übersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kann entweder auf die Quell- oder die Zieladresse angewendet werden.

Hinweis – Der Port 443 (HTTPSClosed) wird standardmäßig für das Benutzerportal genutzt. Wenn Sie den Port 443 an einen internen Server weiterleiten möchten, müssen Sie den Wert des TCPClosed-Ports des Benutzerportals ändern (z. B. 1443). Nehmen Sie diese Einstellung auf der Registerkarte Verwaltung > Benutzerportal > Erweitert vor.

Da DNAT vor dem Firewalling angewendet wird, müssen Sie sicherstellen, dass entsprechende Firewallregeln gesetzt sind. Weitergehende Informationen finden Sie unter Network Protection > Firewall > Regeln.

Um eine NAT-Regel anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.

    Das Dialogfeld NAT-Regel hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Auswahlliste über der Liste können Sie die Regeln nach Ihrer Gruppe filtern. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss auf die Abarbeitung der Regeln. Um eine Gruppe anzulegen, wählen Sie den Eintrag << Neue Gruppe >> und geben Sie einen aussagekräftigen Namen in der Feld Name ein.

    Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen. Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.

    Regeltyp: Wählen Sie den NAT-Modus aus. Abhängig vom gewählten Modus werden verschiedene Optionen angezeigt: Die folgenden Modi sind möglich:

    • SNAT (Quelle): Ordnet die Quelladresse definierter IP-Pakete einer neuen Quelladresse zu. Der Dienst kann ebenfalls geändert werden. Der Dienst kann ebenfalls geändert werden.

      • Hinweis – Sie müssen eine SNAT Regel hinzufügen, bevor Sie den Webfilter aktivieren. Die UTM priorisiert Webfiltereinstellungen höher als SNAT Regeln. Wenn Sie eine SNAT-Regel hinzufügen während der Webfilter aktiviert ist, wird die Regel möglicherweise nicht funktionieren. Sie können den Webfilter unter der Registerkarte Web Protection > Webfilter > Allgemein aktivieren oder deaktivieren.

    • DNAT (Ziel): Ordnet die Zieladresse definierter IP-Pakete einer neuen Zieladresse zu. Der Dienst kann ebenfalls geändert werden. Der Dienst kann ebenfalls geändert werden.
    • 1:1-NAT (ganze Netzwerke): Ordnet IP-Adressen eines Netzwerks 1:1 einem anderen Netzwerk zu. Die Regel gilt entweder für die Quell- oder die Zieladresse der definierten IP-Pakete.
    • Volles NAT (Quelle + Ziel): Ordnet sowohl die Quell- als auch die Zieladresse definierter IP-Pakete einer neuen Quell- und einer neuen Zieladresse zu. Der Quelldienst und der Zieldienst können ebenfalls geändert werden.
    • Kein NAT: Bei dieser Option handelt es sich um eine Ausnahmeregel. Beispiel: Wenn für ein bestimmtes Netzwerk eine NAT-Regel existiert, können Sie eine Kein NAT-Regel für bestimmte Hosts innerhalb dieses Netzwerks festlegen. Diese Hosts werden dann vom NAT ausgenommen.

    Bedingung für Übereinstimmung: Wählen Sie Quell- und Zielnetzwerk, Quell- und Zielhost sowie den Dienst, für den Sie Adressen übersetzen möchten, oder fügen Sie diese Elemente hinzu.Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    • Datenverkehrsquelle: Die ursprüngliche Quelladresse der Pakete. Dabei kann es sich entweder um einen einzelnen Host, ein gesamtes Netzwerk oder, außer für den Regeltyp 1:1-NAT, einen Netzwerkbereich handeln.

    • Datenverkehrsdienst: Der ursprüngliche Diensttyp des Pakets, der aus Quell- und Zielports der Pakete sowie einem Protokoll besteht.

      Hinweis – Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auch die entsprechenden Adressen umgesetzt werden. Des Weiteren kann ein Dienst nur in einen Dienst mit dem gleichen Protokoll umgesetzt werden.

    • Datenverkehrsziel: Die ursprüngliche Zieladresse der Pakete. Dabei kann es sich entweder um einen einzelnen Host oder ein gesamtes Netzwerk handeln. Bei SNAT und Kein NAT kann es sich auch um einen Netzwerkbereich handeln.

    Aktion: Wählen Sie den Quell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprünglichen IP-Paketdaten übersetzen möchten. Die angezeigten Parameter hängen vom ausgewählten Regeltyp ab. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    • Quelle ändern in (nur in den Modi SNAT oder Volles NAT): Wählen Sie den Quellhost, also die neue Quelladresse der Pakete.
    • Ziel ändern in (nur in den Modi DNAT oder Volles NAT): Wählen Sie den Zielhost, also die neue Zieladresse der Pakete.
    • Dienst ändern in (nur in den Modi DNAT, SNAT oder Volles NAT): Wählen Sie den neuen Dienst für die Pakete. Je nach ausgewähltem Regeltyp kann es sich hierbei um den Quell- bzw. Zieldienst handeln.

    • 1:1-NAT-Modus (nur mit dem Regeltyp 1:1 NAT): Wählen Sie einen der folgenden Modi:

      • Ziel zuordnen: Ändert die Zieladresse.
      • Quelle zuordnen: Ändert die Quelladresse.

      Hinweis – Sie müssen im Feld Datenverkehrsquelle ein ganzes Netzwerk eingeben, wenn Sie die Quelle zuordnen möchten, oder im Feld Datenverkehrsziel, wenn Sie das Ziel zuordnen möchten.

    • Zuordnung (nur im Modus 1:1-NAT): Wählen Sie das Netzwerk, in das Sie die ursprünglichen IP-Adressen übersetzen möchten. Bitte beachten Sie, dass die Netzmaske des ursprünglichen Netzwerks mit der Netzmaske des übersetzten Netzwerks übereinstimmen muss.

    Automatische Firewallregel (optional): Wählen Sie diese Option, um Firewallregeln automatisch zu generieren, sodass der entsprechende Datenverkehr die Firewall passieren kann.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Optional können Sie folgende erweiterte Einstellungen vornehmen:

    Regel gilt für IPsec-Pakete (nur in den Modi SNAT oder Volles NAT): Wählen Sie diese Option, wenn die Regel für Datenverkehr gelten soll, der von IPsec verarbeitet wird. Diese Option ist standardmäßig nicht ausgewählt, wodurch IPsec-Verkehr von SNAT ausgeschlossen wird.

    Initpakete protokollieren (optional): Wählen Sie diese Option, um Initialisierungspakete einer Kommunikation ins Firewall-Protokoll zu schreiben. Wann immer eine NAT-Regel verwendet wird, werden Sie eine Meldung im Firewallprotokoll mit folgendem Inhalt finden: „Connection using NAT“ (dt. Verbindung benutzt NAT). Diese Option funktioniert sowohl für zustandbehaftete (stateful) als auch zustandlose (stateless) Protokolle.

  4. Klicken Sie auf Speichern.

    Die neue Regel wird in der Liste NAT angezeigt.

  5. Aktivieren Sie die NAT-Regel.

    Die neue Regel ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler, um die Regel zu aktivieren.
Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren