NAT-Regel bearbeiten

Top  Previous  Next

In der Detailansicht werden NAT-Regeln bearbeitet oder neu erstellt. Folgende Einstellungen können vorgenommen werden:

 

Regel aktivieren: Aktiviert oder deaktiviert die Regel.
Quelladresse: Quelladresse des Datenpakets. Sie können einen bereits definierten Host/Netz Alias oder eine Host/Netz Gruppe auswählen. Alternativ dazu ist es auch möglich, eine frei definierbare IP-Adresse, eine Netzwerkadresse oder einen FQDN anzugeben (CUSTOM). Wählen Sie aus dem Auswahlfeld die Option ANY, wird diese Option nicht berücksichtigt und die Regel ohne Berücksichtigung der Quelladresse angewandt. Wenn Sie das Kontrollkästchen ausgenommen markieren, so wird die angegebene IP-Adresse negiert. Das heißt, alle Quell IP-Adressen außer der/den angegebenen werden berücksichtigt. In der Übersicht wird dies durch ein Rufzeichen vor der IP-Adresse dargestellt.
Zieladresse: Zieladresse des Datenpakets. Sie können einen bereits definierten Host/Netz Alias oder eine Host/Netz Gruppe auswählen. Alternativ dazu ist es auch möglich, eine frei definierbare IP-Adresse, eine Netzwerkadresse oder einen FQDN anzugeben (CUSTOM). Wählen Sie aus dem Auswahlfeld die Option ANY, wird diese Option nicht berücksichtigt und die Regel ohne Berücksichtigung der Zieladresse angewandt. Wenn Sie das Kontrollkästchen ausgenommen markieren, so wird die angegebene IP-Adresse negiert. Das heißt, alle Ziel IP-Adressen außer der/den angegebenen werden berücksichtigt. In der Übersicht wird dies durch ein Rufzeichen vor der IP-Adresse dargestellt.
Service: Service (Protokoll und Ports) des Datenpakets. Sie finden die Definitionen der Services im Modul Netzwerk. Sollten Sie die Option ANY wählen, so wird dieses Feld bei der Überprüfung des Paketes nicht berücksichtigt. Sollten Sie hier den Service CUSTOM wählen, so wird das Formular automatisch erweitert, wenn Sie Java Script aktiviert haben. Sollte Java Script nicht aktiviert sein, so betätigen Sie nach der Auswahl des Protokolls die Go! Schaltfläche. Die Optionen, die bei der Auswahl der Protokolle TCP und UDP zusätzlich konfiguriert werden können, werden weiter unten im Punkt Besonderheiten von TCP/UDP näher erläutert.
Aktion: Die Art der Adressübersetzung und die auszuführende Aktion beim Zutreffen der Regel. Es werden folgende Arten von NAT unterschieden:
Incoming Track:
DNAT: Destination Network Address Translation; die Ziel IP-Adresse wird auf eine bestimmte IP-Adresse verändert.
REDIRECT: Die Anfrage wird auf einen anderen lokalen Port umgeleitet.
Outgoing Track
SNAT: Source Network Address Translation; die Quell IP-Adresse wird auf eine bestimmte IP-Adresse verändert.
MASQUERADE: Die Quell IP-Adresse wird verändert (wird verwendet bei dynamischen öffentlichen Adressen - Dial-in!)
--to: IP-Adresse oder Port, der als neue Adresse bzw. als neuer Port für das Paket dienen soll. Sollte bspw. eine HTTP Anfrage an den internen Webserver mit der IP-Adresse 192.168.10.34 weitergereicht werden, so geben Sie hier diese IP-Adresse an. Sollten Sie die Aktion MASQUERADE gewählt haben, ist ein Eintrag in dieses Feld nicht erlaubt, bei den anderen Aktionen ist er notwendig.
IP-Adresse: IP-Adresse an, mit der das Paket maskiert werden soll.
Port: Bei Auswahl der Option REDIRECT geben Sie hier den lokalen Port an, an den die Anfrage umgeleitet werden soll. Hier kann zum Beispiel ein transparenter Proxy an einem bestimmten Port lauschen.
IP Bereich bis: Hier können Sie eine weitere IP-Adresse angeben, die mit der im Textfeld IP-Adresse eingegebenen einen Bereich bildet. Diese Option dient zum Beispiel zur Lastverteilung von Anfragen auf mehrere identische WWW Server. Anfragen werden im Round-Robin Verfahren an die IP-Adressen im Bereich weitergeleitet und verteilen somit die Last auf mehrere Server.
Kommentar: Geben Sie einen kurzen Kommentar als kleine Erklärung oder Gedächtnisstütze ein.

 

ACHTUNG: Die Veränderungen an den Paketen, die durch NAT durchgeführt werden, führen noch keine Paketfilterung durch. Es sind somit noch eigene Regeln für die Paketfilterung der veränderten Pakete einzufügen, da die Paketfilterung im Falle von eingehenden Paketen erst nach der Veränderung durchgeführt wird und im Falle von ausgehenden Paketen schon vor der Umwandlung.

 

Besonderheiten von TCP/UDP

 

Quellport: Kommt das zu überprüfende Paket vom ausgewählten Port, so werden die weiteren Optionen dieser Regel überprüft. Die angeführten Ports entsprechen den gebräuchlichsten und werden gleichzeitig mit dem entsprechenden Dienst angeführt, der über diesen Port läuft. Wählen Sie den von Ihnen gewünschten aus. Bei der Auswahl von ANY wird diese Option ignoriert und nicht bei der Überprüfung des Paketes berücksichtigt. Die Auswahl der Option CUSTOM erlaubt die Angabe eines nicht in der Liste angeführten Ports oder eines Portbereichs im nebenstehenden Textfeld Bereich. Hier können Sie einen Port von 1 bis 65535 angeben oder einen Bereich, indem Sie den Startport und den Endport des Bereiches durch einen Doppelpunkt trennen (z.B.: 2400:2600 bezeichnet die Ports von 2400 bis 2600). Weiters besteht auch die Möglichkeit, alle Ports bis oder ab einem bestimmten Port zu wählen. Durch die Angabe eines Doppelpunkts gefolgt von einer Portnummer werden alle Ports bis zu dieser Nummer berücksichtigt, durch die Angabe einer Portnummer gefolgt von einem Doppelpunkt werden alle Ports ab dieser Portnummer miteinbezogen (z.B.: :500 für alle Ports von 1-500; 500: für alle Ports von 500 bis 65535).
Zielport: Kommt das zu überprüfende Paket am ausgewählten Port an, so trifft diese Option zu und die restlichen Optionen werden überprüft. Die Auswahl aus dem Auswahlfeld bzw. die Eingabe im Textfeld Bereich erfolgt wie beim Quellport.

 

 

nat_detail