11.8. BiNAT (Prerouting + Postrouting)

BiNAT ist verantwortlich für die Änderung der Quell- und Ziel-IP-Adresse eines Netzwerkpakets. Es ist DNAT und SNAT kombiniert.

Es funktioniert nur bei einem 1:1 Mapping eines Hosts auf eine andere IP-Adresse.

Die BiNAT-Regeleinstellungen finden Sie unter Firewall → NAT.

Sie finden 3 Tabs hier: Inbound (DNAT), Outbound (SNAT) und Beide (BiNAT).

Klicken Sie auf BiNAT, um zu den Regeln zu gelangen.

11.8.1. BiNAT-Regeln verschieben

Die Regeln werden nach Interfaces gruppiert und in Gruppen von 20 Regeln ausgelagert. Sie können benutzerdefinierte Regeln per Drag & Drop an eine andere Position ziehen und diese Position durch Drücken von Speichern in der unteren Navigation speichern. Sie können eine Regel auch auf die nächste oder vorherige Seite oder die erste oder letzte Seite verschieben, wenn Sie die Regel links markieren (klicken Sie auf die erste Zelle der Firewall-Regel) und die Pfeile unten links verwenden. Wenn Sie mit der Maus über die Schaltflächen fahren, wird Ihnen auch deren Beschreibung angezeigt.

11.8.2. BiNAT-Regeln erstellen und aktualisieren

Wenn Sie auf Hinzufügen klicken, erstellen Sie eine neue dnat-Regel auf dem aktuellen Interface, auf dem Sie sich befinden. Sie haben verschiedene Möglichkeiten, die Regel zu setzen. Die Regeln sind durch die folgenden Abschnitte strukturiert:

  • Allgemeine Einstellungen

  • Ziele

  • NAT-Einstellungen

  • Erweitert

11.8.2.1. Allgemeine Einstellungen

Hier können Sie die folgenden Optionen ändern:

Aktiviert Aktivieren oder Deaktivieren der Regel

Interface Sie können das Interface dieser Regel ändern. Es wird an das Ende der Regelliste dieses Interfaces hinzugefügt, wenn Sie es ändern.

Adressfamilie Ist entweder IPv4, IPv6 oder beides. Abhängig von den Quellen und Zielen, die Sie definieren, generiert das System möglicherweise keine Regel für beide, wenn Sie IPv4+IPv6 wählen.

11.8.2.2. Ziele

Die Einstellung Ziel hat Optionen für die Ziel-IPs. Das Ziel ist die IP, auf die der interne Host abgebildet wird. Diese ist in der Regel eine IP auf der Firewall, z.B. eine virtuelle WAN-IP.

11.8.2.3. NAT-Einstellungen

Hier können Sie die Redirect IP konfigurieren. Dies ist die Adresse, an die der Datenverkehr umgeschrieben/weitergeleitet wird. Sie ist die interne IP eines Hosts, die dem Ziel zugeordnet ist.

Wenn NAT Reflection aktiviert ist, können Sie auch die Netzmaske einer Redirect-IP auswählen, um eine NAT-Reflektionsregel zu generieren, die dem Datenverkehr desselben Subnetzes entspricht. Dies ist erforderlich, um eine zugeschnittene SNAT-Regel für diesen Datenverkehr zu erstellen, oder NAT Reflection funktioniert nicht ordnungsgemäß.

11.8.2.4. Erweitert

In den erweiterten Einstellungen können Sie einige zusätzliche Optionen konfigurieren.

Logging Sie können den Regelverkehr protokollieren und auch ein Präfix hinzufügen, damit Sie Regeln leichter finden können. Beachten Sie, dass Firewall-Logging ein aufwendiger Vorgang ist und viele Log-Einträge erzeugt.

11.8.2.5. Änderungen

Am unteren Rand jeder Regel sehen Sie das Erstellungsdatum, Änderungsdatum und den Benutzer Modified user, welcher die Regel zuletzt geändert hat.