NAT-Regeln

Mit Netzwerkadressübersetzung (Network Address Translation, NAT) können Sie IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken ändern, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk.

Sie können Quell-NAT (SNAT)- und Ziel-NAT (DNAT)-Regeln erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem Sie nicht-routingfähige private IP-Adressen in routingfähige öffentliche IP-Adressen übersetzen. Sie können NAT-Regeln für IPv4- und IPv6-Netzwerke erstellen.

Sie können Loopback- und reflexive Regeln für eine Ziel-NAT-Regel festlegen. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, aus der sie erstellt wurden. Das Ändern oder Löschen der ursprünglichen NAT-Regel hat keine Auswirkungen auf sie.

Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewallregeln erstellt. XG Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, die auf Datenverkehr für den E-Mail-MTA-Modus zutrifft.

Um Datenverkehr zwischen überlappenden lokalen Subnetzen zuzulassen, müssen Sie NAT über richtlinienbasiertes IPsec-VPN unter VPN > IPsec-Verbindungen konfigurieren. Weitere Informationen finden Sie im Support-Artikel 123356 (Englisch).

Um eine NAT-Regel manuell hinzuzufügen, wählen Sie NAT-Regel hinzufügen und dann Neue NAT-Regel aus.
Um Ziel-NAT-Regeln und die zugehörigen Firewallregeln automatisch zu erstellen, wählen Sie NAT-Regel hinzufügen und dann Serverzugriffsassistent (DNAT) aus.

Serverzugriffsassistent (DNAT)

Verwenden Sie diese Option, um DNAT-Regeln zu erstellen, um eingehenden Datenverkehr auf Server wie Web-, Mail-, SSH- oder andere Server zu übertragen und auf Remote-Desktops zuzugreifen. Der Assistent erstellt außerdem automatisch eine reflexive SNAT-Regel (für ausgehenden Datenverkehr von den Servern), eine Loopback-Regel (für interne Benutzer, die auf die Server zugreifen) und eine Firewallregel (um eingehenden Datenverkehr zu den Servern zuzulassen).

Aktionen der Regeltabelle

Um IPv4- oder IPv6-Regeln in der Regeltabelle anzuzeigen, wählen Sie IPv4 oder IPv6 aus.
Um den Regelfilter ein- oder auszublenden, wählen Sie Filter deaktivieren bzw. Filter aktivieren aus.
Um den Regelfilter zurückzusetzen, wählen Sie Filter zurücksetzen aus.
Um Regeln auszuschalten, wählen Sie die Regeln und dann Deaktivieren aus.
Um Regeln zu löschen, wählen Sie die Regeln und dann Löschen aus.
Um die Rangfolge einer Regel zu ändern, ziehen Sie sie mit dem Regelgriff an die gewünschte Position. XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie nachfolgende Regeln nicht mehr aus. Positionieren Sie also die spezifischen Regeln über den weniger spezifischen Regeln.

Klicken Sie auf Weitere Optionen Schaltfläche für weitere Optionen , um die folgenden Aktionen durchzuführen:

Um eine Regel ein- oder auszuschalten, klicken Sie auf den Schalter.
Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die Aktion aus.
Um eine Regel neben einer vorhandenen Regel hinzuzufügen, wählen Sie die Aktion aus.
Um die Verknüpfung einer Regel mit der Firewallregel aufzuheben, wählen Sie Regel lösen aus.
Um die Häufigkeit der Verwendung einer Regel zurückzusetzen, wählen Sie Nutzungszähler zurücksetzen aus. Dies ist bei der Fehlerbehebung nützlich.

Firewallregeln und NAT-Regeln

NAT-Regeln setzen Adressübersetzung um. Sie müssen außerdem Firewallregeln erstellen, damit der Datenverkehr in das Netzwerk gelangen oder es verlassen kann.

Bei NAT-Regeln sind die Übereinstimmungskriterien die ursprüngliche Quelle (vor NAT), das Ziel und der Dienst sowie die ein- und ausgehenden Schnittstellen. XG Firewall wendet für ausgehenden Datenverkehr zuerst die Firewallregel und dann die Quell-NAT-Regel an.

Für eingehenden Datenverkehr wendet XG Firewall jedoch zuerst die Ziel-NAT-Regel und dann die Firewallregel an. In der Firewallregel wird die Zielzone zu der Zone, zu der das übersetzte (Post-NAT) Ziel gehört.

Quell-NAT

Sie können Quell-NAT-Regeln für ausgehenden Datenverkehr erstellen, um internen Clients und Servern den Zugriff auf externe Hosts zu ermöglichen. XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Einige dieser Regeln beinhalten die Übersetzung von Portadressen.

Sie können auch schnittstellenspezifisches NAT definieren, um die IP-Adressen eines oder mehrerer interner Hosts in die IP-Adresse zu übersetzen, die Sie für eine ausgehende Schnittstelle angeben.

Sie können keine Quell-NAT-Regel mit einer öffentlichen Schnittstelle erstellen, die ein Bridge-Mitglied ist, weil Bridge-Mitglieder nicht zu einer Zone gehören. Wenn Sie eine öffentliche Schnittstelle als Bridge-Mitglied konfigurieren, werden Quell-NAT-Regeln, die die Schnittstelle verwenden, gelöscht.

ZielNAT

Sie können Ziel-NAT-Regeln für eingehenden Datenverkehr erstellen, um externen Hosts den Zugriff auf interne Clients und Server zu ermöglichen. Sie können eins-zu-eins, viele-zu-eins, viele-zu-viele und eins-zu-viele Übersetzungen von Ihren öffentlichen IP-Adressen in private IP-Adressen festlegen.

Sie können auch eine Lastverteilungsmethode und Zustandsprüfung für die übersetzten Zielhosts festlegen, z.B. für Web- oder E-Mail-Server.

Dienstübersetzung

XG Firewall implementiert Portweiterleitung mit Dienstübersetzung. Dienste sind eine Kombination aus Protokollen und Ports. Das übersetzte Protokoll muss mit dem ursprünglichen Protokoll übereinstimmen.

XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Für viele-zu-viele Übersetzungen müssen die Ports für die ursprünglichen und übersetzten Dienste gleich sein.

Anmerkung Die Web-Admin-Oberfläche von XG Firewall und das Benutzerportal sind über HTTPS über die Standardports 4444 bzw. 443 erreichbar. Wenn Ihre öffentlichen IP-Adressen mit HTTPS-Portweiterleitung an interne Webserver konfiguriert sind, gehen Sie zu Verwaltung > Admin-Einstellungen und geben Sie ungenutzte Ports für HTTPS-Port für Admin-Konsole und HTTPS-Port für Benutzerportal an. Geben Sie alternativ einen anderen Port für Ihre Webserver an.

Loopback-Regeln

Sie können Loopback-Regeln aus Ziel-NAT-Regeln erstellen, um internen Hosts die Kommunikation mit anderen internen Hosts über die externe IP-Adresse oder den Domänennamen zu ermöglichen. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf Ihre Server zu übersetzen, und erstellen Sie eine Loopback-Regel.

Um eine Loopback-Regel zu erstellen, geben Sie die folgenden NAT-Zielregelkriterien an:

Ursprüngliche Quelle: Alle
Übersetzte Quelle: Ursprünglich
Übersetztes Ziel: Nicht auf ursprünglich setzen.

Reflexive Regeln

Sie können eine gespiegelte NAT-Regel für Ziel-NAT-Regeln erstellen. Sie kehrt die Übereinstimmungskriterien der Zielregel um. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf einen internen Server zu übersetzen. Die entsprechende reflexive Regel erlaubt Datenverkehr vom Server zu der in der Ziel-NAT-Regel angegebenen Quelle.

Wenn das ursprüngliche Ziel keine IP-Adresse ist oder übersetzt ist, wird die übersetzte Quelle maskiert.

Verknüpfte NAT-Regeln

Sie können verknüpfte NAT-Regeln mit Firewallregeln erstellen. Dies sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle angezeigt.

Alle Übereinstimmungskriterien einer Firewallregel, einschließlich Benutzern und Zeitplan, gelten auch für die mit ihr verknüpfte NAT-Regel. Sie können diese Einstellungen in der NAT-Regel nicht bearbeiten. Sie können nur die übersetzten Quellen angeben, einschließlich der schnittstellenspezifischen übersetzten Quellen in einer verknüpften NAT-Regel.

XG Firewall vergleicht verknüpfte NAT-Regeln nur mit Datenverkehr, der zu der Firewallregel gehört, mit der die NAT-Regel verknüpft ist. Wenn sie jedoch eine Übereinstimmung mit einer Regel oberhalb der verknüpften NAT-Regel findet, wendet sie die in der ersten Regel angegebenen Einstellungen an.

Migrierte NAT-Konfigurationen

Wenn Sie von einer früheren Version zu SFOS 18.0 migrieren, migriert XG Firewall die NAT-Einstellungen der Firewallregeln als NAT-Regeln und listet sie in der NAT-Regeltabelle auf. Eine Gateway-basierte NAT-Konfiguration können Sie nicht mehr definieren.

Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft. Sie können diese anhand der Firewallregel-ID und des Namens in der NAT-Regeltabelle identifizieren.

Ziel-NAT-Einstellungen werden als unabhängige NAT-Regeln migriert und sind nicht mit einer Firewallregel verknüpft.

Tabelle 1. Regelmigration
Regeln vor der Migration	Regeln nach der Migration
Benutzer-/Netzwerkregel	Quell- oder Ziel-NAT-Regeln basierend auf den Kriterien vor der Migration.
E-Mail-Clients	Quell-NAT-Regeln
DNAT/Full-NAT/Lastverteilung	Ziel-NAT-Regeln mit entsprechenden Firewallregeln.
E-Mail-Server	Ziel-NAT-Regeln

NAT-Einstellungen werden folgendermaßen migriert:

Quell-NAT-Regeln (SNAT):

Maskierte und übersetzte Quelladressen werden wie sie sind migriert.
Wenn die Regel nicht mit Gateway-spezifischem NAT konfiguriert wurde, wird das übersetzte Ziel auf MASQ gesetzt.
Standard-Quell-NAT-Regeln werden nicht für öffentliche Schnittstellen erstellt, die Bridge-Mitglieder sind.

Benutzer-Netzwerk-Regeln mit Gateway-spezifischer NAT-Richtlinie und E-Mail-Client-Regeln (Geschäftsanwendung): Diese werden als Firewallregeln und verknüpfte (Quell-)NAT-Regeln migriert. Die migrierten NAT-Regeln haben die folgenden Einstellungen:

Ein- und ausgehende Schnittstellen sind auf Beliebig gesetzt.
Übersetztes Ziel ist auf Ursprünglich gesetzt.
Quellübersetzung für bestimmte ausgehende Schnittstellen auslassen ist in der migrierten NAT-Regel ausgewählt.

Die übersetzte Quelle für die ausgehende Schnittstelle wird basierend auf den folgenden Konfigurationen vor der Migration festgelegt:


Gateway-Schnittstellen-Beziehung vor der Migration	Übersetzte Quelle nach der Migration
Gateway hat keine Schnittstelle angeschlossen	Nicht migriert
Die mit dem angegebenen Gateway verbundene Schnittstelle ist nicht mit einem anderen Gateway verbunden	NAT-Richtlinienhost des Gateways
Die mit dem angegebenen Gateway verbundene Schnittstelle ist ebenfalls mit dem Standardgateway verbunden	NAT-Richtlinienhost des Standardgateways Ursprünglich für die anderen Gateways
Schnittstelle, die mit dem angegebenen Gateway verbunden ist, ist mit anderen Gateways (und nicht mit dem Standardgateway) verbunden	NAT-Richtlinienhost des ersten Gateways Ursprünglich für die anderen Gateways
NAT-Standardrichtlinie für bestimmtes Gateway überschreiben wurde ausgewählt	NAT-Richtlinienhost des angegebenen Gateways (nicht der Standard-NAT-Richtlinienhost)

Ziel-NAT-Regeln: Wenn Sie eine Ziel-NAT-Regel (Geschäftsanwendung) migrieren, werden in der entsprechenden migrierten NAT-Regel eingehende Schnittstellen basierend auf der Quellzone aufgelistet. Diese lauten folgendermaßen:

Schnittstellen, die zur in der Ziel-NAT-Regel angegebenen Quellzone gehören.
Bridge-Schnittstelle, wenn sie zur Quellzone gehört.
Die Standardauswahl Beliebig, wenn keine Schnittstelle zur Quellzone gehört.

Ziel-NAT-Regel mit Quell-NAT-Regel: DNAT-Regeln werden als unabhängige Firewall- und NAT-Regeln migriert. Wenn eine reflexive Regel ausgewählt wurde, wird sie als Firewallregel und als verknüpfte NAT-Regel migriert.

E-Mail-Server-Regeln (Geschäftsanwendung): Ihre Migration folgt den Prinzipien der DNAT-Regelmigration. Weitere Migrationseinstellungen sind:


Regeln für E-Mail-Server	Migrierte Einstellungen
Benutzer und Gruppen	Zu Firewallregeln migriert
Zugelassene Client-Netzwerke	Quellnetzwerke und Geräte in Firewallregeln
Gesperrte Client-Netzwerke	Ausschlüsse bei Quellnetzwerke und Geräte in Firewallregeln
Geschützte Zonen	Zielzonen sind auf Beliebig in Firewallregeln gesetzt
Geschützte Zonen in reflexiver Regel	Quellzonen in Firewallregeln
Geschützte Server	Übersetztes Ziel (DNAT) in Ziel-NAT-Regeln
Geschützte Server in reflexiver Regel	Quellnetzwerke und Geräte in Firewallregeln

Verknüpfte NAT-Regeln in der Regeltabelle bereinigen

Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft.

Wenn Sie auf SFOS 18.0 migrieren, könnten viele verknüpfte NAT-Regeln (Quell-NAT) in der NAT-Regeltabelle erstellt werden. Sie sind mit Firewallregeln verknüpft, für die keine NAT-Einstellungen konfiguriert waren oder für die NAT basierend auf Benutzern und Zeitplänen vor der Migration implementiert war.

Wir haben diese Regeln nicht automatisch aufgeräumt, um sicherzustellen, dass es nach der Migration keine Änderungen im Verhalten gibt. Sie können sie jedoch löschen. Es handelt sich um verknüpfte NAT-Regeln mit folgenden Kriterien:

Übersetzte Quelle auf MASQ gesetzt.
Verknüpft mit Firewallregeln, für die die Zielzone nur auf WAN gesetzt ist.

Am unteren Rand der Regeltabelle haben wir eine Standard-Quell-NAT-Regel (Standard-SNAT IPv4 oder Standard-SNAT IPv6) hinzugefügt, wobei die übersetzte Quelle auf MASQ gesetzt ist. Die Regel ist standardmäßig ausgeschaltet. Sie können diese Regel neu positionieren, um die gelöschten Regeln zu ersetzen, und sie einschalten.

In der NAT-Regeltabelle enthält das Feld unter dem Regelfiltermenü die folgenden Optionen für diese verknüpften NAT-Regeln:

Verstanden. Keine Regeln löschen: Die Regeln werden nicht gelöscht. Das Feld wird nicht mehr angezeigt.
Verknüpfte NAT-Regeln löschen (nur MASQ; Ziel: WAN): Löscht die verknüpften NAT-Regeln, deren übersetzte Quelle auf MASQ gesetzt und mit Firewallregeln verknüpft ist, für die die Zielzone nur auf WAN gesetzt ist.
Klicken Sie auf die Schaltfläche X oben rechts, um das Feld vorübergehend auszublenden. Das Feld wird wieder angezeigt, wenn Sie die Seite später öffnen.