NAT-Regeln

Mit Netzwerkadressübersetzung (Network Address Translation, NAT) können Sie IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken ändern, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk.

Sie können Quell-NAT (SNAT)- und Ziel-NAT (DNAT)-Regeln erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem Sie nicht-routingfähige private IP-Adressen in routingfähige öffentliche IP-Adressen übersetzen. Sie können NAT-Regeln für IPv4- und IPv6-Netzwerke erstellen.

Sie können Loopback- und reflexive Regeln für eine Ziel-NAT-Regel festlegen. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, aus der sie erstellt wurden. Das Ändern oder Löschen der ursprünglichen NAT-Regel hat keine Auswirkungen auf sie.

Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewallregeln erstellt. XG Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, die auf Datenverkehr für den E-Mail-MTA-Modus zutrifft.

Um Datenverkehr zwischen überlappenden lokalen Subnetzen zuzulassen, müssen Sie NAT über richtlinienbasiertes IPsec-VPN unter VPN > IPsec-Verbindungen konfigurieren. Weitere Informationen finden Sie im Support-Artikel 123356 (Englisch).

  • Um eine NAT-Regel manuell hinzuzufügen, wählen Sie NAT-Regel hinzufügen und dann Neue NAT-Regel aus.
  • Um Ziel-NAT-Regeln und die zugehörigen Firewallregeln automatisch zu erstellen, wählen Sie NAT-Regel hinzufügen und dann Serverzugriffsassistent (DNAT) aus.

Serverzugriffsassistent (DNAT)

Verwenden Sie diese Option, um DNAT-Regeln zu erstellen, um eingehenden Datenverkehr auf Server wie Web-, Mail-, SSH- oder andere Server zu übertragen und auf Remote-Desktops zuzugreifen. Der Assistent erstellt außerdem automatisch eine reflexive SNAT-Regel (für ausgehenden Datenverkehr von den Servern), eine Loopback-Regel (für interne Benutzer, die auf die Server zugreifen) und eine Firewallregel (um eingehenden Datenverkehr zu den Servern zuzulassen).

Aktionen der Regeltabelle

  • Um IPv4- oder IPv6-Regeln in der Regeltabelle anzuzeigen, wählen Sie IPv4 oder IPv6 aus.
  • Um den Regelfilter ein- oder auszublenden, wählen Sie Filter deaktivieren bzw. Filter aktivieren aus.
  • Um den Regelfilter zurückzusetzen, wählen Sie Filter zurücksetzen aus.
  • Um Regeln auszuschalten, wählen Sie die Regeln und dann Deaktivieren aus.
  • Um Regeln zu löschen, wählen Sie die Regeln und dann Löschen aus.
  • Um die Rangfolge einer Regel zu ändern, ziehen Sie sie mit dem Regelgriff Schaltfläche zum Greifen einer Regel an die gewünschte Position. XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie nachfolgende Regeln nicht mehr aus. Positionieren Sie also die spezifischen Regeln über den weniger spezifischen Regeln.

Klicken Sie auf Weitere Optionen Schaltfläche für weitere Optionen, um die folgenden Aktionen durchzuführen:

  • Um eine Regel ein- oder auszuschalten, klicken Sie auf den Schalter.
  • Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die Aktion aus.
  • Um eine Regel neben einer vorhandenen Regel hinzuzufügen, wählen Sie die Aktion aus.
  • Um die Verknüpfung einer Regel mit der Firewallregel aufzuheben, wählen Sie Regel lösen aus.
  • Um die Häufigkeit der Verwendung einer Regel zurückzusetzen, wählen Sie Nutzungszähler zurücksetzen aus. Dies ist bei der Fehlerbehebung nützlich.

Firewallregeln und NAT-Regeln

NAT-Regeln setzen Adressübersetzung um. Sie müssen außerdem Firewallregeln erstellen, damit der Datenverkehr in das Netzwerk gelangen oder es verlassen kann.

Bei NAT-Regeln sind die Übereinstimmungskriterien die ursprüngliche Quelle (vor NAT), das Ziel und der Dienst sowie die ein- und ausgehenden Schnittstellen. XG Firewall wendet für ausgehenden Datenverkehr zuerst die Firewallregel und dann die Quell-NAT-Regel an.

Für eingehenden Datenverkehr wendet XG Firewall jedoch zuerst die Ziel-NAT-Regel und dann die Firewallregel an. In der Firewallregel wird die Zielzone zu der Zone, zu der das übersetzte (Post-NAT) Ziel gehört.

Quell-NAT

Sie können Quell-NAT-Regeln für ausgehenden Datenverkehr erstellen, um internen Clients und Servern den Zugriff auf externe Hosts zu ermöglichen. XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Einige dieser Regeln beinhalten die Übersetzung von Portadressen.

Sie können auch schnittstellenspezifisches NAT definieren, um die IP-Adressen eines oder mehrerer interner Hosts in die IP-Adresse zu übersetzen, die Sie für eine ausgehende Schnittstelle angeben.

Sie können keine Quell-NAT-Regel mit einer öffentlichen Schnittstelle erstellen, die ein Bridge-Mitglied ist, weil Bridge-Mitglieder nicht zu einer Zone gehören. Wenn Sie eine öffentliche Schnittstelle als Bridge-Mitglied konfigurieren, werden Quell-NAT-Regeln, die die Schnittstelle verwenden, gelöscht.

Ziel­NAT

Sie können Ziel-NAT-Regeln für eingehenden Datenverkehr erstellen, um externen Hosts den Zugriff auf interne Clients und Server zu ermöglichen. Sie können eins-zu-eins, viele-zu-eins, viele-zu-viele und eins-zu-viele Übersetzungen von Ihren öffentlichen IP-Adressen in private IP-Adressen festlegen.

Sie können auch eine Lastverteilungsmethode und Zustandsprüfung für die übersetzten Zielhosts festlegen, z.B. für Web- oder E-Mail-Server.

Dienstübersetzung

XG Firewall implementiert Portweiterleitung mit Dienstübersetzung. Dienste sind eine Kombination aus Protokollen und Ports. Das übersetzte Protokoll muss mit dem ursprünglichen Protokoll übereinstimmen.

XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Für viele-zu-viele Übersetzungen müssen die Ports für die ursprünglichen und übersetzten Dienste gleich sein.

Anmerkung Die Web-Admin-Oberfläche von XG Firewall und das Benutzerportal sind über HTTPS über die Standardports 4444 bzw. 443 erreichbar. Wenn Ihre öffentlichen IP-Adressen mit HTTPS-Portweiterleitung an interne Webserver konfiguriert sind, gehen Sie zu Verwaltung > Admin-Einstellungen und geben Sie ungenutzte Ports für HTTPS-Port für Admin-Konsole und HTTPS-Port für Benutzerportal an. Geben Sie alternativ einen anderen Port für Ihre Webserver an.

Loopback-Regeln

Sie können Loopback-Regeln aus Ziel-NAT-Regeln erstellen, um internen Hosts die Kommunikation mit anderen internen Hosts über die externe IP-Adresse oder den Domänennamen zu ermöglichen. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf Ihre Server zu übersetzen, und erstellen Sie eine Loopback-Regel.

Um eine Loopback-Regel zu erstellen, geben Sie die folgenden NAT-Zielregelkriterien an:

  • Ursprüngliche Quelle: Alle
  • Übersetzte Quelle: Ursprünglich
  • Übersetztes Ziel: Nicht auf ursprünglich setzen.

Reflexive Regeln

Sie können eine gespiegelte NAT-Regel für Ziel-NAT-Regeln erstellen. Sie kehrt die Übereinstimmungskriterien der Zielregel um. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf einen internen Server zu übersetzen. Die entsprechende reflexive Regel erlaubt Datenverkehr vom Server zu der in der Ziel-NAT-Regel angegebenen Quelle.

Wenn das ursprüngliche Ziel keine IP-Adresse ist oder übersetzt ist, wird die übersetzte Quelle maskiert.

Verknüpfte NAT-Regeln

Sie können verknüpfte NAT-Regeln mit Firewallregeln erstellen. Dies sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle angezeigt.

Alle Übereinstimmungskriterien einer Firewallregel, einschließlich Benutzern und Zeitplan, gelten auch für die mit ihr verknüpfte NAT-Regel. Sie können diese Einstellungen in der NAT-Regel nicht bearbeiten. Sie können nur die übersetzten Quellen angeben, einschließlich der schnittstellenspezifischen übersetzten Quellen in einer verknüpften NAT-Regel.

XG Firewall vergleicht verknüpfte NAT-Regeln nur mit Datenverkehr, der zu der Firewallregel gehört, mit der die NAT-Regel verknüpft ist. Wenn sie jedoch eine Übereinstimmung mit einer Regel oberhalb der verknüpften NAT-Regel findet, wendet sie die in der ersten Regel angegebenen Einstellungen an.

Migrierte NAT-Konfigurationen

Wenn Sie von einer früheren Version zu SFOS 18.0 migrieren, migriert XG Firewall die NAT-Einstellungen der Firewallregeln als NAT-Regeln und listet sie in der NAT-Regeltabelle auf. Eine Gateway-basierte NAT-Konfiguration können Sie nicht mehr definieren.

Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft. Sie können diese anhand der Firewallregel-ID und des Namens in der NAT-Regeltabelle identifizieren.

Ziel-NAT-Einstellungen werden als unabhängige NAT-Regeln migriert und sind nicht mit einer Firewallregel verknüpft.

Tabelle 1. Regelmigration

Regeln vor der Migration

Regeln nach der Migration

Benutzer-/Netzwerkregel

Quell- oder Ziel-NAT-Regeln basierend auf den Kriterien vor der Migration.

E-Mail-Clients

Quell-NAT-Regeln

DNAT/Full-NAT/Lastverteilung

Ziel-NAT-Regeln mit entsprechenden Firewallregeln.

E-Mail-Server

Ziel-NAT-Regeln

NAT-Einstellungen werden folgendermaßen migriert:

Quell-NAT-Regeln (SNAT):

  • Maskierte und übersetzte Quelladressen werden wie sie sind migriert.
  • Wenn die Regel nicht mit Gateway-spezifischem NAT konfiguriert wurde, wird das übersetzte Ziel auf MASQ gesetzt.
  • Standard-Quell-NAT-Regeln werden nicht für öffentliche Schnittstellen erstellt, die Bridge-Mitglieder sind.

Benutzer-Netzwerk-Regeln mit Gateway-spezifischer NAT-Richtlinie und E-Mail-Client-Regeln (Geschäftsanwendung): Diese werden als Firewallregeln und verknüpfte (Quell-)NAT-Regeln migriert. Die migrierten NAT-Regeln haben die folgenden Einstellungen:

  • Ein- und ausgehende Schnittstellen sind auf Beliebig gesetzt.
  • Übersetztes Ziel ist auf Ursprünglich gesetzt.
  • Quellübersetzung für bestimmte ausgehende Schnittstellen auslassen ist in der migrierten NAT-Regel ausgewählt.

Die übersetzte Quelle für die ausgehende Schnittstelle wird basierend auf den folgenden Konfigurationen vor der Migration festgelegt:

Gateway-Schnittstellen-Beziehung vor der Migration

Übersetzte Quelle nach der Migration

Gateway hat keine Schnittstelle angeschlossen

Nicht migriert

Die mit dem angegebenen Gateway verbundene Schnittstelle ist nicht mit einem anderen Gateway verbunden

NAT-Richtlinienhost des Gateways

Die mit dem angegebenen Gateway verbundene Schnittstelle ist ebenfalls mit dem Standardgateway verbunden

  • NAT-Richtlinienhost des Standardgateways
  • Ursprünglich für die anderen Gateways

Schnittstelle, die mit dem angegebenen Gateway verbunden ist, ist mit anderen Gateways (und nicht mit dem Standardgateway) verbunden

  • NAT-Richtlinienhost des ersten Gateways
  • Ursprünglich für die anderen Gateways

NAT-Standardrichtlinie für bestimmtes Gateway überschreiben wurde ausgewählt

NAT-Richtlinienhost des angegebenen Gateways (nicht der Standard-NAT-Richtlinienhost)

Ziel-NAT-Regeln: Wenn Sie eine Ziel-NAT-Regel (Geschäftsanwendung) migrieren, werden in der entsprechenden migrierten NAT-Regel eingehende Schnittstellen basierend auf der Quellzone aufgelistet. Diese lauten folgendermaßen:
  • Schnittstellen, die zur in der Ziel-NAT-Regel angegebenen Quellzone gehören.

  • Bridge-Schnittstelle, wenn sie zur Quellzone gehört.

  • Die Standardauswahl Beliebig, wenn keine Schnittstelle zur Quellzone gehört.

Ziel-NAT-Regel mit Quell-NAT-Regel: DNAT-Regeln werden als unabhängige Firewall- und NAT-Regeln migriert. Wenn eine reflexive Regel ausgewählt wurde, wird sie als Firewallregel und als verknüpfte NAT-Regel migriert.

E-Mail-Server-Regeln (Geschäftsanwendung): Ihre Migration folgt den Prinzipien der DNAT-Regelmigration. Weitere Migrationseinstellungen sind:

Regeln für E-Mail-Server

Migrierte Einstellungen

Benutzer und Gruppen

Zu Firewallregeln migriert

Zugelassene Client-Netzwerke

Quellnetzwerke und Geräte in Firewallregeln

Gesperrte Client-Netzwerke

Ausschlüsse bei Quellnetzwerke und Geräte in Firewallregeln

Geschützte Zonen

Zielzonen sind auf Beliebig in Firewallregeln gesetzt

Geschützte Zonen in reflexiver Regel

Quellzonen in Firewallregeln

Geschützte Server

Übersetztes Ziel (DNAT) in Ziel-NAT-Regeln

Geschützte Server in reflexiver Regel

Quellnetzwerke und Geräte in Firewallregeln

Verknüpfte NAT-Regeln in der Regeltabelle bereinigen

Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft.

Wenn Sie auf SFOS 18.0 migrieren, könnten viele verknüpfte NAT-Regeln (Quell-NAT) in der NAT-Regeltabelle erstellt werden. Sie sind mit Firewallregeln verknüpft, für die keine NAT-Einstellungen konfiguriert waren oder für die NAT basierend auf Benutzern und Zeitplänen vor der Migration implementiert war.

Wir haben diese Regeln nicht automatisch aufgeräumt, um sicherzustellen, dass es nach der Migration keine Änderungen im Verhalten gibt. Sie können sie jedoch löschen. Es handelt sich um verknüpfte NAT-Regeln mit folgenden Kriterien:

  • Übersetzte Quelle auf MASQ gesetzt.
  • Verknüpft mit Firewallregeln, für die die Zielzone nur auf WAN gesetzt ist.

Am unteren Rand der Regeltabelle haben wir eine Standard-Quell-NAT-Regel (Standard-SNAT IPv4 oder Standard-SNAT IPv6) hinzugefügt, wobei die übersetzte Quelle auf MASQ gesetzt ist. Die Regel ist standardmäßig ausgeschaltet. Sie können diese Regel neu positionieren, um die gelöschten Regeln zu ersetzen, und sie einschalten.

In der NAT-Regeltabelle enthält das Feld unter dem Regelfiltermenü die folgenden Optionen für diese verknüpften NAT-Regeln:

  • Verstanden. Keine Regeln löschen: Die Regeln werden nicht gelöscht. Das Feld wird nicht mehr angezeigt.
  • Verknüpfte NAT-Regeln löschen (nur MASQ; Ziel: WAN): Löscht die verknüpften NAT-Regeln, deren übersetzte Quelle auf MASQ gesetzt und mit Firewallregeln verknüpft ist, für die die Zielzone nur auf WAN gesetzt ist.
  • Klicken Sie auf die Schaltfläche X oben rechts, um das Feld vorübergehend auszublenden. Das Feld wird wieder angezeigt, wenn Sie die Seite später öffnen.