DNAT- und Firewallregeln für interne Server erstellen

Das Beispiel zeigt, wie Sie eine viele-zu-viele Ziel-NAT-Regel erstellen, um eingehenden Datenverkehr auf interne Server zu übersetzen. Es zeigt außerdem, wie Sie Firewallregeln erstellen, um den Datenverkehr zuzulassen.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Erstellen Sie eine Ziel-NAT-Regel, um Datenverkehr von externen Quellen auf die internen Server zu übersetzen.
  • Geben Sie eine Loopback-NAT-Regel an, um Datenverkehr von internen Quellen auf die internen Server zu übersetzen.
  • Geben Sie eine reflexive NAT-Regel an, um Datenverkehr von den Servern zu übersetzen. Dies ist eine Quell-NAT-Regel für die internen Server.
  • Verteilen Sie die Last des Datenverkehrs zwischen den internen Servern.

DNAT-Netzwerkdiagramm

Ziel-NAT wird in der Regel verwendet, um eingehenden Datenverkehr zu übersetzen, der an den WAN-IP-Adressen ankommt. Die folgenden Netzwerkinformationen sind zur Veranschaulichung:

  • IP-Adresse von Webservern vor NAT: 11.8.9.28
  • IP-Adressen von Webservern nach NAT: 10.145.15.42, 10.145.15.114


In diesem Beispiel haben Sie Folgendes angegeben:

  • Ziel-NAT von externer Quelle zu internen Webservern mit Portübersetzung: Alle an öffentliche IP-Adresse von Webserver (11.8.9.28) übersetzt zu Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) mit Port-Übersetzung von TCP 8888 zu TCP 4444.
  • Loopback-Regel zur Übertragung des Datenverkehrs von der internen Quelle auf interne Webserver: Netzwerk-LAN (10.145.16.10/24 ) an öffentliche IP-Adresse von Webserver (11.8.9.28) übersetzt zu Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) mit Port-Übersetzung von TCP 8888 zu TCP 4444.
  • Reflexive Regel zur Übertragung des Datenverkehrs vom Webserver auf externe und interne Ziele: Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) an Alle.
  • Lastverteilungsmethode für die Webserver.
  • Firewallregel, um Datenverkehr von externen Netzwerken zu den internen Webservern in der DMZ zuzulassen.
  • Firewallregel, um Datenverkehr von einem internen Netzwerk zu den internen Webservern zuzulassen.
  • Firewallregel, um Datenverkehr von den internen Webservern zu einem beliebigen Netzwerk zuzulassen.

Einstellungen für NAT-Regeln angeben

  1. Gehen Sie zu Regeln und Richtlinien > NAT-Regeln. Wählen Sie IPv4 oder IPv6 und dann NAT-Regel hinzufügen aus.
  2. Geben Sie den Regelnamen und die Position der Regel an.
  3. Geben Sie in diesem Beispiel die Übersetzungseinstellungen für eingehenden Datenverkehr an die Webserver an:

    Name

    Beschreibung

    Ursprüngliche Quelle

    Alle

    Übersetzte Quelle (SNAT)

    Ursprünglich

    Ursprüngliches Ziel

    Webserver_PublicIPAddress

    Übersetztes Ziel (DNAT)

    Webserver_InternalIPAddressList

    Ursprünglicher Dienst

    TCP port 8888

    Wählen Sie Neu erstellen und setzen Sie Zielport auf 8888.

    Übersetzter Dienst (PAT)

    TCP port 4444

    Wählen Sie Neu erstellen und setzen Sie Zielport auf 4444.

    Eingehende Schnittstelle

    Alle

    Alternativ können Sie in diesem Beispiel Port 1 festlegen.

    Ausgehende Schnittstelle

    Alle

  4. Wählen Sie die Option Loopback-Regel erstellen, um Datenverkehr von internen Benutzern auf die internen Webserver zu übersetzen.
  5. Wählen Sie die Option Reflexive Regel erstellen aus, um eine Quell-NAT-Regel zu erstellen, die den Datenverkehr von den Webservern übersetzt.
  6. Wählen Sie eine Lastverteilungsmethode, um die Datenverkehrslast zwischen den Webservern in diesem Beispiel zu verteilen: Round-robin
  7. Klicken Sie auf Speichern.

    Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:


    DNAT-Regel für Webserver
Erstellen Sie Firewallregeln, um Datenverkehr zuzulassen, der mit der Ziel-NAT-Regel, Loopback-Regel und reflexiver NAT-Regel übereinstimmt.

Firewallregeleinstellungen für DNAT-Regel festlegen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Geben Sie den Regelnamen und die Position der Regel an.
  3. Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

    Name

    Beschreibung

    Quellzonen

    WAN

    Quellnetzwerke und Geräte

    Alle

    Zielzonen

    DMZ

    Zielnetzwerke

    Webserver PublicIPAddress

    Dienste

    TCP port 8888, TCP port 4444
  4. Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.
    Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:

    Firewallregel eingehender Webserver
Sie haben eine Firewallregel erstellt, um Datenverkehr von externen Quellen zu den internen Webservern zuzulassen.

Firewallregeleinstellungen für Loopback-Regel festlegen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Geben Sie den Regelnamen und die Position der Regel an.
  3. Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

    Name

    Beschreibung

    Quellzonen

    LAN

    Quellnetzwerke und Geräte

    Network_LAN

    Zielzonen

    DMZ

    Zielnetzwerke

    Webserver PublicIPAddress

    Dienste

    TCP port 8888, TCP port 4444

  4. Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.

    Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:


    Firewallregel LAN zu Webserver
Sie haben eine Firewallregel erstellt, um Datenverkehr vom internen Netzwerk zu den internen Webservern zuzulassen.

Firewallregeleinstellungen für reflexive NAT-Regel festlegen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Geben Sie den Regelnamen und die Position der Regel an.
  3. Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

    Name

    Beschreibung

    Quellzonen

    DMZ

    Quellnetzwerke und Geräte

    Webserver InternalIPAddressList

    Zielzonen

    Alle

    Zielnetzwerke

    Alle

    Dienste

    TCP port 8888, TCP port 4444

  4. Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.

    Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:


    Firewallregel für ausgehenden Webserververkehr
Sie haben eine Firewallregel erstellt, um Datenverkehr von den internen Webservern zu internen und externen Netzwerken zuzulassen.