DNAT- und Firewallregeln für interne Server erstellen

Das Beispiel zeigt, wie Sie eine viele-zu-viele Ziel-NAT-Regel erstellen, um eingehenden Datenverkehr auf interne Server zu übersetzen. Es zeigt außerdem, wie Sie Firewallregeln erstellen, um den Datenverkehr zuzulassen.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:

Erstellen Sie eine Ziel-NAT-Regel, um Datenverkehr von externen Quellen auf die internen Server zu übersetzen.
Geben Sie eine Loopback-NAT-Regel an, um Datenverkehr von internen Quellen auf die internen Server zu übersetzen.
Geben Sie eine reflexive NAT-Regel an, um Datenverkehr von den Servern zu übersetzen. Dies ist eine Quell-NAT-Regel für die internen Server.
Verteilen Sie die Last des Datenverkehrs zwischen den internen Servern.

DNAT-Netzwerkdiagramm

Ziel-NAT wird in der Regel verwendet, um eingehenden Datenverkehr zu übersetzen, der an den WAN-IP-Adressen ankommt. Die folgenden Netzwerkinformationen sind zur Veranschaulichung:

IP-Adresse von Webservern vor NAT: 11.8.9.28
IP-Adressen von Webservern nach NAT: 10.145.15.42, 10.145.15.114

In diesem Beispiel haben Sie Folgendes angegeben:

Ziel-NAT von externer Quelle zu internen Webservern mit Portübersetzung: Alle an öffentliche IP-Adresse von Webserver (11.8.9.28) übersetzt zu Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) mit Port-Übersetzung von TCP 8888 zu TCP 4444.
Loopback-Regel zur Übertragung des Datenverkehrs von der internen Quelle auf interne Webserver: Netzwerk-LAN (10.145.16.10/24 ) an öffentliche IP-Adresse von Webserver (11.8.9.28) übersetzt zu Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) mit Port-Übersetzung von TCP 8888 zu TCP 4444.
Reflexive Regel zur Übertragung des Datenverkehrs vom Webserver auf externe und interne Ziele: Webserver interne IP-Liste (10.145.15.42, 10.145.15.114) an Alle.
Lastverteilungsmethode für die Webserver.
Firewallregel, um Datenverkehr von externen Netzwerken zu den internen Webservern in der DMZ zuzulassen.
Firewallregel, um Datenverkehr von einem internen Netzwerk zu den internen Webservern zuzulassen.
Firewallregel, um Datenverkehr von den internen Webservern zu einem beliebigen Netzwerk zuzulassen.

Einstellungen für NAT-Regeln angeben

Gehen Sie zu Regeln und Richtlinien > NAT-Regeln. Wählen Sie IPv4 oder IPv6 und dann NAT-Regel hinzufügen aus.
Geben Sie den Regelnamen und die Position der Regel an.

Geben Sie in diesem Beispiel die Übersetzungseinstellungen für eingehenden Datenverkehr an die Webserver an:

Name	Beschreibung
Ursprüngliche Quelle	`Alle`
Übersetzte Quelle (SNAT)	`Ursprünglich`
Ursprüngliches Ziel	`Webserver_PublicIPAddress`
Übersetztes Ziel (DNAT)	`Webserver_InternalIPAddressList`
Ursprünglicher Dienst	`TCP port 8888` Wählen Sie Neu erstellen und setzen Sie Zielport auf `8888`.
Übersetzter Dienst (PAT)	`TCP port 4444` Wählen Sie Neu erstellen und setzen Sie Zielport auf `4444`.
Eingehende Schnittstelle	`Alle` Alternativ können Sie in diesem Beispiel `Port 1` festlegen.
Ausgehende Schnittstelle	`Alle`

Wählen Sie die Option Loopback-Regel erstellen, um Datenverkehr von internen Benutzern auf die internen Webserver zu übersetzen.
Wählen Sie die Option Reflexive Regel erstellen aus, um eine Quell-NAT-Regel zu erstellen, die den Datenverkehr von den Webservern übersetzt.
Wählen Sie eine Lastverteilungsmethode, um die Datenverkehrslast zwischen den Webservern in diesem Beispiel zu verteilen: Round-robin
Klicken Sie auf Speichern.

Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:

Erstellen Sie Firewallregeln, um Datenverkehr zuzulassen, der mit der Ziel-NAT-Regel, Loopback-Regel und reflexiver NAT-Regel übereinstimmt.

Firewallregeleinstellungen für DNAT-Regel festlegen

Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
Geben Sie den Regelnamen und die Position der Regel an.

Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

Name	Beschreibung
Quellzonen	`WAN`
Quellnetzwerke und Geräte	`Alle`
Zielzonen	`DMZ`
Zielnetzwerke	`Webserver PublicIPAddress`
Dienste	`TCP port 8888`, `TCP port 4444`

Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.

Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:

Sie haben eine Firewallregel erstellt, um Datenverkehr von externen Quellen zu den internen Webservern zuzulassen.

Firewallregeleinstellungen für Loopback-Regel festlegen

Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
Geben Sie den Regelnamen und die Position der Regel an.

Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

Name	Beschreibung
Quellzonen	`LAN`
Quellnetzwerke und Geräte	`Network_LAN`
Zielzonen	`DMZ`
Zielnetzwerke	`Webserver PublicIPAddress`
Dienste	`TCP port 8888`, `TCP port 4444`

Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.

Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:

Sie haben eine Firewallregel erstellt, um Datenverkehr vom internen Netzwerk zu den internen Webservern zuzulassen.

Firewallregeleinstellungen für reflexive NAT-Regel festlegen

Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
Geben Sie den Regelnamen und die Position der Regel an.

Geben Sie die Quelle, das Ziel und die Dienste folgendermaßen an:

Name	Beschreibung
Quellzonen	`DMZ`
Quellnetzwerke und Geräte	`Webserver InternalIPAddressList`
Zielzonen	`Alle`
Zielnetzwerke	`Alle`
Dienste	`TCP port 8888`, `TCP port 4444`

Legen Sie die Sicherheitseinstellungen fest und klicken Sie auf Speichern.

Die folgende Abbildung zeigt ein Beispiel für die Konfiguration der Einstellungen:

Sie haben eine Firewallregel erstellt, um Datenverkehr von den internen Webservern zu internen und externen Netzwerken zuzulassen.