11.7. SNAT (Postrouting)

SNAT oder Source-NAT ist verantwortlich für die Änderung der Quell-IP-Adresse eines Netzwerk-Pakets. Sie ist die letzte Regel, die in VT AIR verarbeitet wird, wenn ein neues Netzwerkpaket bei der Firewall eintrifft.

Mit SNAT können Sie den Absender des Netzwerkpakets maskieren. SNAT schreibt die Quelle des Network-Pakets auf die von Ihnen gewählte IP um.

SNAT

Dieses Bild wurde mit Ikonen von srip und Good Ware von Flaticon erstellt.

Standardmäßig erhält der Verkehr, der von Ihrem lokalen Netzwerk kommt und an ein Ziel außerhalb Ihres Netzwerks geht, eine neue Quell-IP, die Ihre WAN-IP widerspiegelt. Dies ist jedoch nicht immer das gewünschte Verhalten. In Hochverfügbarkeitseinrichtungen muss zum Beispiel eine gemeinsame virtuelle WAN-Adresse verwendet werden. Weitere Einzelheiten hierzu finden Sie unter Setup-Beispiele.

SNAT Default Rule

Die SNAT-Regeleinstellungen finden Sie unter Firewall → NAT.

Sie finden 3 Tabs hier: Inbound (DNAT), Outbound (SNAT) und Beide (BiNAT).

Klicken Sie auf SNAT, um zu den Regeln zu gelangen.

11.7.1. SNAT-Regeln verschieben

Die Regeln werden nach Interfaces gruppiert und in Gruppen von 20 Regeln ausgelagert. Sie können benutzerdefinierte Regeln per Drag & Drop an eine andere Position ziehen und diese Position durch Drücken von Speichern in der unteren Navigation speichern. Sie können eine Regel auch auf die nächste oder vorherige Seite oder die erste oder letzte Seite verschieben, wenn Sie die Regel links markieren (klicken Sie auf die erste Zelle der Firewall-Regel) und die Pfeile unten links verwenden. Wenn Sie mit der Maus über die Schaltflächen fahren, wird Ihnen auch deren Beschreibung angezeigt.

11.7.2. SNAT-Regeln erstellen und aktualisieren

Wenn Sie auf Hinzufügen klicken, erstellen Sie eine neue dnat-Regel auf dem aktuellen Interface, auf dem Sie sich befinden. Sie haben verschiedene Möglichkeiten, die Regel zu setzen. Die Regeln sind durch die folgenden Abschnitte strukturiert:

  • Allgemeine Einstellungen

  • Quellen

  • Ziele

  • NAT-Einstellungen

  • Erweitert

11.7.2.1. Allgemeine Einstellungen

Hier können Sie die folgenden Optionen ändern:

Aktiviert Aktivieren oder Deaktivieren der Regel

Interface Sie können das Interface dieser Regel ändern. Es wird an das Ende der Regelliste dieses Interfaces hinzugefügt, wenn Sie es ändern.

Kein NAT Dies schließt eine Übereinstimmung dieser Regel von SNAT aus. Dies könnte für Ausnahmen nützlich sein.

Adressfamilie Ist entweder IPv4, IPv6 oder beides. Abhängig von den Quellen und Zielen, die Sie definieren, generiert das System möglicherweise keine Regel für beide, wenn Sie IPv4+IPv6 wählen.

Protokoll Das Layer-2-Protokoll der Regel.

11.7.2.2. Quellen

Die Quell-Einstellung hat Optionen für die Quell-IPs und ggf. Quell-Ports. Sie können mehrere Einträge von jedem hinzufügen und IPv4 und IPv6 auch mischen. Das System wird die Regel für Sie herausfinden.

Quell-Ports finden Sie unter Erweiterte Quelleneinstellungen.

Die Option Invert IP Match invertiert IPs und MACs sowie die Ports.

11.7.2.3. Ziele

Die Zieleinstellung hat Optionen für die Ziel-IPs und ggf. Ziel-Ports. Sie können mehrere Einträge von beiden hinzufügen und auch IPv4 und IPv6 mischen. Das System wird die Regel für Sie herausfinden.

Die Option Invert IP Match invertiert sowohl die IPs als auch die Ports.

11.7.2.4. NAT-Einstellungen

Sie können die Translation IP und, wenn verwendbar, den Translation Port konfigurieren. Dies ist die Adresse, auf die der Datenverkehr umgeschrieben wird. Die Firewall ändert die Quelle des Netzwerkpakets auf diese Adresse/Port.

Standardmäßig wählt VT AIR einen zufälligen Port für den Datenverkehr aus. Dies ist nicht in allen Situationen sinnvoll. Einige Protokolle hängen von einem statischen Port wie VOIP ab. Aktivieren Sie diese Option, um einen statischen Port zu verwenden.

11.7.2.5. Erweitert

In den erweiterten Einstellungen können Sie einige zusätzliche Optionen konfigurieren.

Logging Sie können den Regelverkehr protokollieren und auch ein Präfix hinzufügen, damit Sie Regeln leichter finden können. Beachten Sie, dass Firewall-Logging ein aufwendiger Vorgang ist und viele Log-Einträge erzeugt.

Routingtabelle Sie können diese SNAT-Regel auf Datenverkehr anwenden, indem Sie die angegebene Routingtabelle verwenden. Dem Datenverkehr muss zuerst eine Firewallregel zugeordnet werden, die die Routingtabelle für die Verbindung festlegt.

Input Interface Sie können die Eingangsschnittstelle dem Paket entsprechend einstellen.

11.7.2.6. Änderungen

Am unteren Rand jeder Regel sehen Sie das Erstellungsdatum, Änderungsdatum und den Benutzer Modified user, welcher die Regel zuletzt geändert hat.