DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT (Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle Fälle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung initiiert hat. Das Gegenstück hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt. DNAT ist besonders nützlich, wenn ein internes Netzwerk private IP-Adressen verwendet und Sie einige Dienste von außen zugänglich machen wollen.
Das lässt sich am besten anhand eines Beispiels verdeutlichen: Ein Webserver mit der IP-Adresse 192.168.0.20, Port 80, der in einem privaten Netzwerk mit dem Adressraum 192.168.0.0/255.255.255.0 steht, soll für Clients aus dem Internet erreichbar sein. Da der Adressraum 192.168. privat ist, können Internet-basierte Clients Pakete nicht direkt an den Webserver schicken. Sie können aber mit der externen (öffentlichen) Adresse von Sophos UTM kommunizieren. DNAT kann in diesem Fall Pakete an Port 80 der Firewall annehmen und diese zum internen Webserver weiterleiten.
Hinweis – PPTP-VPN-Zugang ist nicht kompatibel mit DNAT.
Im Gegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primären Netzwerkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-Regel angegeben ist.
1:1-NAT ist ein Spezialfall von DNAT oder SNAT. In diesem Fall werden sämtliche Adressen eines Netzwerks 1:1 in die Adressen eines anderen Netzwerks mit der gleichen Netzmaske übersetzt. Die erste Adresse des ursprünglichen Netzwerks wird also in die erste Adresse des anderen Netzwerks übersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kann entweder auf die Quell- oder die Zieladresse angewendet werden.
Hinweis – Der Port 443 (HTTPS) wird standardmäßig für das Benutzerportal genutzt. Wenn Sie den Port 443 an einen internen Server weiterleiten möchten, müssen Sie den Wert des TCP-Ports des Benutzerportals ändern (z. B. 1443). Nehmen Sie diese Einstellung auf der Registerkarte Verwaltung > Benutzerportal > Erweitert vor.
Da DNAT vor dem Firewalling angewendet wird, müssen Sie sicherstellen, dass entsprechende Firewallregeln gesetzt sind. Weitergehende Informationen finden Sie unter Network Protection > Firewall > Regeln.
Um eine NAT-Regel anzulegen, gehen Sie folgendermaßen vor:
Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.
Das Dialogfeld NAT-Regel hinzufügen öffnet sich.
Nehmen Sie die folgenden Einstellungen vor:
Gruppe: Die Option Gruppe dient dazu, Regeln logisch zusammenzufassen. Mit der Auswahlliste über der Liste können Sie die Regeln nach Ihrer Gruppe filtern. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss auf die Abarbeitung der Regeln. Um eine Gruppe anzulegen, wählen Sie den Eintrag << Neue Gruppe >> und geben Sie einen aussagekräftigen Namen in der Feld Name ein.
Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen. Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.
Regeltyp: Wählen Sie den NAT-Modus aus. Abhängig vom gewählten Modus werden verschiedene Optionen angezeigt: Die folgenden Modi sind möglich:
Hinweis – Sie müssen eine SNAT Regel hinzufügen, bevor Sie den Webfilter aktivieren. Die Sophos UTM priorisiert Webfiltereinstellungen höher als SNAT Regeln. Wenn Sie eine SNAT-Regel hinzufügen während der Webfilter aktiviert ist, wird die Regel möglicherweise nicht funktionieren. Sie können den Webfilter unter der Registerkarte Web Protection > Webfilter > Allgemein aktivieren oder deaktivieren.
Bedingung für Übereinstimmung: Wählen Sie Quell- und Zielnetzwerk, Quell- und Zielhost sowie den Dienst, für den Sie Adressen übersetzen möchten, oder fügen Sie diese Elemente hinzu. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
Datenverkehrsdienst: Der ursprüngliche Diensttyp des Pakets, der aus Quell- und Zielports der Pakete sowie einem Protokoll besteht.
Hinweis – Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auch die entsprechenden Adressen umgesetzt werden. Des Weiteren kann ein Dienst nur in einen Dienst mit dem gleichen Protokoll umgesetzt werden.
Aktion: Wählen Sie den Quell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprünglichen IP-Paketdaten übersetzen möchten. Die angezeigten Parameter hängen vom ausgewählten Regeltyp ab. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
1:1-NAT-Modus (nur mit dem Regeltyp 1:1 NAT): Wählen Sie einen der folgenden Modi:
Hinweis – Sie müssen im Feld Datenverkehrsquelle ein ganzes Netzwerk eingeben, wenn Sie die Quelle zuordnen möchten, oder im Feld Datenverkehrsziel, wenn Sie das Ziel zuordnen möchten.
Automatische Firewallregel (optional): Wählen Sie diese Option, um Firewallregeln automatisch zu generieren, sodass der entsprechende Datenverkehr die Firewall passieren kann.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Optional können Sie folgende erweiterte Einstellungen vornehmen:
Regel gilt für IPsec-Pakete (nur in den Modi SNAT oder Volles NAT): Wählen Sie diese Option, wenn die Regel für Datenverkehr gelten soll, der von IPsec verarbeitet wird. Diese Option ist standardmäßig nicht ausgewählt, wodurch IPsec-Verkehr von SNAT ausgeschlossen wird.
Initpakete protokollieren (optional): Wählen Sie diese Option, um Initialisierungspakete einer Kommunikation ins Firewall-Protokoll zu schreiben. Wann immer eine NAT-Regel verwendet wird, werden Sie eine Meldung im Firewallprotokoll mit folgendem Inhalt finden: „Connection using NAT“ (dt. Verbindung benutzt NAT). Diese Option funktioniert sowohl für zustandbehaftete (stateful) als auch zustandlose (stateless) Protokolle.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste NAT angezeigt.
Aktivieren Sie die NAT-Regel.
Die neue Regel ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler, um die Regel zu aktivieren.