Com o Network Address Translation (NAT), você pode modificar os endereços IP e as portas de tráfego que fluem entre redes, geralmente entre uma rede confiável e uma não confiável.
Você pode criar regras NAT de origem (SNAT) e NAT de destino (DNAT) para permitir o fluxo de tráfego entre redes públicas e privadas, convertendo endereços IPs privados não roteáveis em endereços IPs públicos roteáveis. Você pode criar regras NAT para redes IPv4 e IPv6.
Você pode especificar regras de loopback e reflexivas para uma regra NAT de destino. Essas regras permanecem independentes da regra original a partir da qual elas foram criadas. Alterar ou excluir a regra NAT original não os afeta.
Regras NAT vinculadas são regras SNAT e são criadas a partir de regras de firewall. O XG Firewall adiciona automaticamente uma regra NAT vinculada para corresponder ao tráfego no modo MTA de email.
Para permitir o fluxo de tráfego entre sub-redes locais sobrepostas, você precisa configurar o NAT pela VPN IPsec policy-based em VPN > IPsec Connections. Para mais detalhes, consulte o artigo 123356 da base de conhecimento.
- Para adicionar uma regra NAT manualmente, selecione Add NAT Rules e, em seguida, selecione New NAT Rule.
- Para criar automaticamente as regras NAT de destino e as regras de firewall relacionadas, selecione Add NAT Rule e, em seguida, selecione DNAT (Server Access Assistent).
Assistente de acesso ao servidor (DNAT)
Use isso para criar regras DNAT que convertem o tráfego recebido em servidores públicos, como web, email, SSH ou outros servidores, e acessar áreas de trabalho na rede interna. O assistente também cria uma regra SNAT reflexiva (para tráfego de saída dos servidores), uma regra de loopback (para usuários internos acessando os servidores) e uma regra de firewall (para permitir tráfego de entrada para os servidores) automaticamente.
Ações da tabela de regras
- Para ver as regras IPv4 ou IPv6 na tabela de regras, selecione IPv4 ou IPv6.
- Para ocultar ou mostrar o filtro de regras, selecione Disable Filter e Enable Filter, respectivamente.
- Para redefinir o filtro de regras, selecione Reset Filter.
- Para desativar as regras, selecione as regras e selecione Disable.
- Para excluir regras, selecione as regras e selecione Delete.
- Para alterar a sequência de uma regra, arraste e solte o botão Alça de regra . O XG Firewall avalia regras de cima para baixo até encontrar uma correspondência. Depois de encontrar uma correspondência para o pacote, ele não avalia as regras subseqüentes. Portanto, posicione as regras específicas acima das regras menos específicas.
Clique em Mais opções … para especificar as seguintes ações:
- Para ativar ou desativar uma regra, selecione a chave.
- Para editar ou excluir uma regra, selecione a ação.
- Para adicionar uma regra ao lado de uma regra existente, selecione a ação.
- Para desvincular uma regra da regra do firewall, selecione Unlink Rule.
- Para redefinir o número de vezes que uma regra foi usada, selecione Reset usage count. Isso é útil na solução de problemas.
Regras de firewall e regras NAT
As regras NAT impõem a conversão de endereços. Você também deve criar regras de firewall para permitir que o tráfego entre ou saia da rede.
Para regras NAT, os critérios de correspondência são a origem, o destino e o serviço (pré-NAT) originais e as interfaces de entrada e saída. Para tráfego de saída, o XG Firewall aplica primeiro a regra do firewall e depois a regra NAT de origem.
No entanto, para o tráfego recebido, o XG Firewall aplica primeiro a regra NAT de destino e depois a regra de firewall. Na regra do firewall, a zona de destino se torna a zona à qual o destino traduzido (pós-NAT) pertence.
NAT de origem
Você pode criar regras NAT de origem para o tráfego de saída para permitir que clientes e servidores internos acessem hosts externos. O XG Firewall implementa tradução um para um, muitos para um e muitos para muitos. Alguns deles envolvem conversão de endereço de porta.
Você também pode definir o NAT específico da interface para converter os endereços IP de um ou mais hosts internos no endereço IP especificado para uma interface de saída.
Você não pode criar uma regra NAT de origem usando uma interface pública que seja um membro de uma bridge porque os membros da bridge não pertencem a uma zona. Se você configurar uma interface pública como um membro da bridge, as regras NAT de origem usando a interface serão excluídas.
NAT de destino
Você pode criar regras NAT de destino para o tráfego recebido para permitir que hosts externos acessem clientes e servidores internos. Você pode especificar uma tradução um para um, muitos para um, muitos para muitos e um para muitos de seus endereços IP públicos para endereços IP privados.
Você também pode especificar um método de balanceamento de carga e uma Health Check para os hosts de destino traduzidos, por exemplo, servidores da Web ou de email.
Tradução de serviço
O XG Firewall implementa o encaminhamento de porta com tradução de serviço. Os serviços são uma combinação de protocolos e portas. O protocolo traduzido deve corresponder ao protocolo original.
O XG Firewall implementa tradução um para um, muitos para um e muitos para muitos. Para tradução muitos para muitos, as portas para os serviços originais e traduzidos devem ser iguais em número.
Nota: O console de administração da web do XG Firewall e o portal do usuário podem ser acessados via HTTPS através das portas padrão 4444 e 443, respectivamente. Se seus endereços IP públicos estiverem configurados com o encaminhamento de porta HTTPS para servidores Web internos, vá para Administration > Admin Settings e especifique portas não utilizadas para a Admin Console HTTPS Port e a User Portal HTTPS Port. Como alternativa, especifique uma porta diferente para seus servidores da web.
Regras de LoopBack
Você pode criar regras de loopback a partir das regras NAT de destino para permitir que hosts internos se comuniquem com outros hosts internos pelo endereço IP externo ou pelo nome do domínio. Por exemplo, crie uma regra NAT de destino para converter o tráfego recebido em seus servidores e crie uma regra de loopback.
Para criar uma regra de loopback, especifique os seguintes critérios de regra NAT de destino:
- Original Source: Any
- Translated Source: Original
- Translated Destination: Don’t set to original.
Regras Reflexivas
Você pode criar uma regra mirror NAT para regras NAT de destino. Inverte os critérios de correspondência da regra de destino. Por exemplo, crie uma regra NAT de destino para converter o tráfego recebido em um servidor interno. A regra reflexiva correspondente permitirá o tráfego do servidor para a fonte especificada na regra NAT de destino.
Se o destino original não for um endereço IP ou for traduzido, a fonte traduzida será mascarada.
Regras NAT vinculadas
Você pode criar regras NAT vinculadas com regras de firewall. Essas são regras NAT de origem e aparecerão na tabela de regras NAT.
Todos os critérios correspondentes de uma regra de firewall, incluindo usuários e agendamento, se aplicam à sua regra NAT vinculada. Você não pode editar essas configurações na regra NAT. Você pode especificar apenas as fontes traduzidas, incluindo fontes traduzidas específicas da interface em uma regra NAT vinculada.
O XG Firewall corresponde às regras NAT vinculadas apenas ao tráfego relacionado à regra de firewall à qual está vinculado. No entanto, se encontrar uma correspondência com uma regra acima da regra NAT vinculada, aplicará as configurações especificadas na primeira regra.
Configurações NAT migradas
Quando você migra de uma versão anterior para o SFOS v18.0, o XG Firewall migra as configurações NAT das regras de firewall como regras NAT e as lista na tabela de regras NAT. Você não pode mais definir uma configuração NAT baseada em gateway.
As configurações de NAT de origem são migradas como regras NAT vinculadas. Essas regras estão vinculadas à regra original do firewall. Você pode identificá-los pelo ID e nome da regra de firewall na tabela de regras NAT.
As configurações de NAT de destino são migradas como regras NAT independentes e não estão vinculadas a uma regra de firewall.
Tabela 1. Migração de Regras | |
Regras de pré-migração | Regras pós-migração |
Regras de usuário / rede | Regras NAT de origem ou destino com base nos critérios de pré-migração. |
Clientes de email | Regras NAT de origem |
DNAT / NAT completo / Balanceamento de carga | Regras NAT de destino com regras de firewall correspondentes. |
Servidores de email | Regras NAT de destino |
As configurações de NAT são migradas da seguinte maneira:
Regras do NAT de origem (SNAT):
- Os endereços de origem mascarados e traduzidos são migrados como estão.
- Se a regra não foi configurada com NAT específico do gateway, o destino traduzido será definido como MASQ.
- As regras NAT de origem padrão não são criadas para interfaces públicas que são membros de bridge.
User-Network rules com política NAT específica do gateway e regras do cliente de email (Business Application): são migradas como regras de firewall e regras NAT vinculadas (de origem). As regras NAT migradas terão as seguintes configurações:
- As interfaces de entrada e saída são definidas como Any.
- O destino traduzido está definido como Any.
- A substituição da conversão de origem para interfaces de saída específicas é selecionada na regra NAT migrada.
A origem traduzida para a interface de saída é definida com base nas seguintes configurações de pré-migração:
Relacionamento da interface do gateway antes da migração | Origem traduzida após a migração |
O gateway não possui uma interface conectada | Não migrado |
A interface conectada ao gateway especificado não está conectada a outro gateway | Host de política NAT do gateway |
A interface conectada ao gateway especificado também está conectada ao gateway padrão | Host de política NAT do gateway padrãoOriginal para os outros gateways |
A interface conectada ao gateway especificado está conectada a outros gateways (e não ao gateway padrão) | Host de política NAT do primeiro gatewayOriginal para os outros gateways |
A política de substituição de NAT padrão para gateway específico foi selecionada | Host de política NAT do gateway especificado (não o host de política NAT padrão) |
Regras NAT de Destino: Quando você migra uma regra NAT de destino (Business Application), a regra NAT migrada correspondente, lista as interfaces de entrada com base na zona de origem. Eles são os seguintes:
- Interfaces que pertencem à zona de origem especificada na regra NAT de destino.
- Interface de bridge, se pertencer à zona de origem.
- A interface padrão Any se nenhuma pertence à zona de origem.
Regra NAT de destino com regra NAT de origem: as regras DNAT são migradas como regras de firewall independentes e regras NAT. Se uma regra reflexiva foi selecionada, ela é migrada como uma regra de firewall e uma regra NAT vinculada.
Regras do servidor de email (Business Aplication): Sua migração segue os princípios de migração de regras DNAT. Outras configurações de migração são as seguintes:
Regras do servidor de email | Configurações migradas |
Usuários e grupos | Migrado para regras de firewall |
Redes de clientes permitidas | Redes e dispositivos de origem nas regras de firewall |
Redes de clientes bloqueadas | Exclusões para redes e dispositivos de origem nas regras de firewall |
Zonas protegidas | As zonas de destino estão definidas como Any na regra de firewall |
Zonas protegidas em regra reflexiva | Zonas de origem nas regras de firewall |
Servidores protegidos | Destino traduzido (DNAT) nas regras NAT de destino |
Servidores protegidos em regra reflexiva | Redes e dispositivos de origem nas regras de firewall |
Limpar regras NAT vinculadas na tabela de regras
As configurações de NAT de origem são migradas como regras NAT vinculadas. Essas regras estão vinculadas à regra original do firewall.
Quando você migra para o SFOS v18.0, muitas regras NAT (NAT de origem) vinculadas podem ser criadas na tabela de regras NAT. Eles estão vinculados a regras de firewall que não tinham configurações de NAT definidas ou que implementaram o NAT com base em usuários e agendamento antes da migração.
Não removemos essas regras automaticamente para garantir que não haja mudança de comportamento após a migração. No entanto, você pode excluí-los. Eles estão vinculados às regras NAT com os seguintes critérios:
- Origem traduzida definida como MASQ.
- Vinculado a regras de firewall que possuem a zona de destino definida apenas para WAN.
Na parte inferior da tabela de regras, adicionamos uma regra NAT de origem padrão (Default SNAT IPv4 ou Default SNAT IPv6) com a origem traduzida definida como MASQ. A regra está desativada por padrão. Você pode reposicionar esta regra para substituir as regras excluídas e ativá-la.
Na tabela de regras NAT, a caixa abaixo do menu de filtragem de regras fornece as seguintes opções para essas regras NAT vinculadas:
- Understood. Don’t delete rules: não excluirá as regras. Não mostrará a caixa novamente.
- Delete linked NAT rules (only MASQ; Destination: WAN): exclui as regras NAT vinculadas com a origem traduzida definida como MASQ e as regras de firewall que possuem a zona de destino definida apenas para WAN.
- Selecione o botão X no canto superior direito para ocultar a caixa temporariamente. A caixa reaparece quando você abre a página posteriormente.
Do Original em: https://docs.sophos.com/nsg/sophos-firewall/18.0/releasenotes/en-us/nsg/sfos/releasenotes/rn_NATRulesManage.html