NAT-Regel hinzufügen

Sie können NAT-Regeln erstellen, um die IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk, zu ändern.

Sie können Quell-NAT-Regeln für Datenverkehr festlegen, der von der angegebenen Quell-Adresse stammt, und Ziel-NAT-Regeln für Datenverkehr zur angegebenen Zieladresse. Sie können auch Loopback-Richtlinien festlegen, um Datenverkehr von internen Quellen auf interne Server zu übertragen.

Um eine Quell-NAT-Regel zu erstellen, geben Sie die ursprünglichen und übersetzten Quellen sowie die ein- und ausgehenden Schnittstellen an.

Um eine Ziel-NAT-Regel zu erstellen, geben Sie die ursprünglichen und übersetzten Ziele und Dienste sowie die ein- und ausgehenden Schnittstellen an.

Mit der NAT-Methode in Zielregeln können Sie Lastverteilung und Failover für interne Hosts einsetzen. Sie können Zustandsprüfungen angeben, um die Lastverteilungs- und Failover-Einstellungen zu durchzusetzen.

Gehen Sie zu Regeln und Richtlinien > NAT-Regeln. Wählen Sie IPv4 oder IPv6 und dann NAT-Regel hinzufügen aus.
Die Regel ist standardmäßig eingeschaltet.

Geben Sie die Regeldetails ein.

Name	Beschreibung
Regelname	Geben Sie einen Namen ein.
Regelgruppe	Wählen Sie eine Regelgruppe aus, oder erstellen Sie eine Regelgruppe. Die Firewallregel gehört zu dieser Gruppe. Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.

Name

Beschreibung

Regelname

Geben Sie einen Namen ein.

Regelgruppe

Wählen Sie eine Regelgruppe aus, oder erstellen Sie eine Regelgruppe. Die Firewallregel gehört zu dieser Gruppe.

Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.

Legen Sie die Übersetzungseinstellungen für Quelle, Ziel, Dienste und Schnittstellen fest, um Übereinstimmungen mit dem Datenverkehr, der durch Schnittstellen und VPN-Tunnel fließt, zu finden.

Ursprüngliche Quelle, Ziel und Dienst sind die Eigenschaften des Datenverkehrs vor NAT, wenn er XG Firewallbetritt. Übersetzte Quelle, Ziel und Dienste sind die Eigenschaften des Datenverkehrs nach NAT, wenn er XG Firewall verlässt. Sie können die ursprüngliche Quelle, das Ziel und die Dienste auswählen oder neue Dienste erstellen.

Name	Beschreibung
Ursprüngliche Quelle	Geben Sie die Quellobjekte des ausgehenden Datenverkehrs vor NAT an. Um eine eingehende NAT-Regel zu erstellen, wenn die eingehende IP-Adresse unbekannt ist, wählen Sie Beliebig.
Übersetzte Quelle (SNAT)	IP-Adressen der ursprünglichen Quellobjekte werden in die von Ihnen angegebenen IP-Adressen übersetzt. Verwenden Sie diese Funktion, um Quell-NAT (SNAT) für ausgehenden Datenverkehr durchzuführen. Um Datenverkehr zu maskieren, wählen Sie MASQ aus. Um eine eingehende NAT-Regel zu erstellen, wählen Sie Ursprünglich aus.
Ursprüngliches Ziel	Geben Sie die Zielobjekte des eingehenden Datenverkehrs vor NAT an. Um eine ausgehende NAT-Regel zu erstellen, wählen Sie Beliebig aus.
Übersetztes Ziel (DNAT)	IP-Adressen der Zielobjekte werden in die von Ihnen angegebenen IP-Adressen oder FQDN übersetzt. Um eine ausgehende NAT-Regel zu erstellen, wählen Sie Ursprünglich aus.
Ursprünglicher Dienst	Geben Sie die Dienste vor NAT an. Dienste sind eine Kombination aus Protokollen und Ports. Um eine ausgehende NAT-Regel zu erstellen, ist dies in der Regel auf Beliebig gesetzt.
Übersetzter Dienst (PAT)	Die ursprünglichen Dienste werden in die von Ihnen angegebenen Dienste übersetzt. Verwenden Sie diese Funktion für die Portadressübersetzung (PAT). Wenn Sie mehr als einen ursprünglichen Dienst angegeben haben oder ihn auf Beliebig setzen, setzen Sie den übersetzten Dienst auf Ursprünglich. Das übersetzte Protokoll muss mit dem ursprünglichen Protokoll übereinstimmen. Sie können die ursprünglichen Dienst-Ports in eine einzelne oder dieselbe Anzahl übersetzter Dienst-Ports übersetzen. Sie können dies verwenden, um Datenverkehr an interne Server weiterzuleiten. Geben Sie beispielsweise TCP-Port 443 an, um eingehenden HTTPS-Datenverkehr an einen internen Webserver weiterzuleiten.
Eingehende Schnittstelle	Wählen Sie die Schnittstellen aus, über die der in dieser Regel angegebene Datenverkehr XG Firewall betritt. Für Ziel-NAT können Sie Beliebig angeben. Setzen Sie für VPNs diese Schnittstelle auf Beliebig, da VPNs keine Schnittstellen sind.
Ausgehende Schnittstelle	Wählen Sie die Schnittstellen aus, von denen der in dieser Regel angegebene Datenverkehr XG Firewall verlässt. Für VPNs und Ziel-NAT-Regeln, die öffentliche IP-Adressen in private IP-Adressen übersetzen, setzen Sie diese Schnittstelle auf Beliebig.

Optional Wählen Sie Quellübersetzung für bestimmte ausgehende Schnittstellen auslassen aus, um eine schnittstellenspezifische Übersetzung anzuwenden. Diese Option gilt nur für Quell-NAT-Regeln.
1. Wählen Sie Ausgehende Schnittstelle und Übersetzte Quelle (SNAT) aus. Um mehrere anzugeben, wählen Sie Erweitern .
Optional Wählen Sie Loopback-Regel erstellen aus, um internen Hosts den Zugriff auf andere interne Hosts, z.B. Server, zu ermöglichen.
Optional Wählen Sie Reflexive Regel erstellen aus, um eine Spiegelregel zu erstellen, die die Übereinstimmungskriterien der Regel, aus der sie erstellt wurde, umkehrt.

Anmerkung Sie können Loopback- und reflexive Regeln für Ziel-NAT-Regeln erstellen. Sie werden unter Verwendung der ursprünglichen NAT-Regel-ID und des Namens erstellt. Das spätere Ändern der ursprünglichen NAT-Regeleinstellungen ändert keine Loopback- und reflexiven Regeleinstellungen.

Optional Wählen Sie die Lastverteilungsmethode aus, um den Datenverkehr zwischen den übersetzten internen Hosts zu verteilen.

Option	Beschreibung
Round-robin	Anfragen werden nacheinander bedient, beginnend mit dem Server neben dem zuvor zugewiesenen Server. Verwenden Sie diese Funktion, wenn Sie den Datenverkehr gleichmäßig verteilen wollen und keine Sitzungsbindung benötigen.
Erster erreichbarer	Eingehende Anfragen werden dem Primärserver zugestellt (der ersten IP-Adresse im Bereich). Wenn der Primärserver ausfällt, werden Anfragen an den nächsten Server weitergeleitet usw. Verwenden Sie diese Funktion für Failover.
Zufällig	Anfragen werden zufällig an die Server mit gleicher Lastverteilung gesendet. Verwenden Sie diese Funktion, wenn Sie gleiche Verteilung wollen und keine Sitzungsbindung oder Reihenfolge der Verteilung erfordern.
Permanente IP	Datenverkehr aus einer bestimmten Quelle wird an den zugeordneten Server weitergeleitet. Verwenden Sie diese Funktion, wenn die Anfragen vom gleichen Server verarbeitet werden sollen.
Eins-zu-eins	Anfragen werden an die zugeordneten IP-Adressen gesendet. Die IP-Adressen der ursprünglichen und der übersetzten Ziele müssen gleich sein.

Optional Wählen Sie Zustandsprüfung aus, um Server-Failover einzusetzen. Geben Sie das Testintervall, die Antwortzeit und die Anzahl der Wiederholungen an, nach denen der Host deaktiviert werden soll.

Die Zustandsprüfung wird standardmäßig für die NAT-Methode Erster erreichbarer eingesetzt.
1. Wählen Sie den Testverfahren aus. Sie können ICMP- (Ping) oder TCP-Protokolle auswählen.
2. Geben Sie den Port, über den die Prüfung laufen soll.
3. Geben Sie das Testintervall an. Es ist das Intervall zwischen Zustandsprüfungen.
4. Geben Sie die Antwortzeitlimit an. Der Server muss innerhalb dieses Zeitraums reagieren, um als aktiv zu gelten.
5. Geben Sie bei Host deaktivieren nach die Anzahl der Versuche ein.
Klicken Sie auf Speichern.