NAT-Regeln werden wie bereits erwähnt ähnlich Firewall-Regeln für einen bestimmten Track erstellt und von oben nach unten abgearbeitet, bis die Optionen einer Regel auf das eintreffende Paket zutreffen. Die Reihenfolge der Regeln ist daher von großer Bedeutung. Nachdem ein Track aus dem Auswahlfeld Track ausgewählt worden ist, werden in der darunterliegenden Elementgruppe die zu diesem Track zugehörigen NAT-Regeln dargestellt. In der Übersicht kann die Reihenfolge verändert werden. Auch das Editieren oder Löschen einzelner Regeln wird hier durchgeführt.
HINWEIS: Eine Besonderheit stellt der Track "Von Gibraltar ausgehend" dar. Damit können Pakete maskiert werden, die von einem Service ausgeschickt werden, der auf Gibraltar läuft. Als Beispiel kann hier ein HTTP-Proxy dienen: Sie erlauben nur einer durch Authentifizierung eingeschränkten Anzahl an Benutzern den Zugriff auf Homepages via HTTP-Proxy. Sie haben jedoch auch eine eigene Homepage im DMZ liegen, auf die auch nur diese Personen zugreifen dürfen. Wenn diese Personen Ihre eigene Homepage aufrufen, wird eine Anfrage von deren Browser an den HTTP-Proxy von Gibraltar gestellt. Der Proxy stellt wiederum eine Anfrage an den DNS-Server, der den Namen der eigenen Homepage auf eine IP-Adresse auflösen soll. Diese IP-Adresse ist die externe IP-Adresse von Gibraltar. Anfragen von außen werden von Gibraltar korrekt auf den Webserver im DMZ umgeleitet. Wenn jedoch der HTTP-Proxy jetzt seine Anfrage an die externe IP-Adresse stellt, werden die Antwortpakete nicht korrekt zugestellt. Daher ist es für Anfragen aus dem eigenen Netz an die eigene Homepage notwendig, diese mit der Adresse des Webserver im DMZ zu maskieren, damit die Pakete ihren richtigen Weg finden. Dieser Track wird nur in Ausnahmefällen Verwendung finden.
▪ | Aktiv: Aktiviert oder deaktiviert die entsprechende Regel. |
▪ | Quelle: Die Quell IP-Adresse/das Quell Subnetz dieser Regel. Wird keine IP-Adresse angegeben (ANY), so ist die Quell IP-Adresse für diese Regel irrelevant und es werden alle Quelladressen akzeptiert. Wird vor der IP-Adresse ein Rufzeichen dargestellt, so werden alle Quell IP-Adressen außer der hier angegebenen berücksichtigt (Negation). |
▪ | Ziel: Die Ziel IP-Adresse/das Ziel Subnetz dieser Regel. Wird keine IP-Adresse angegeben (ANY), so ist die Ziel IP-Adresse für diese Regel irrelevant und es werden alle Zieladressen akzeptiert. Wird vor der IP-Adresse ein Rufzeichen dargestellt, so werden alle Ziel IP-Adressen außer der hier angegebenen berücksichtigt (Negation). |
▪ | Service: Der Service dieser Regel. Wurde kein Service angegeben, so wird das Protokoll angezeigt. |
▪ | Zielport: Der Port, auf welchen das Paket geschickt werden muss, um von dieser Regel verändert zu werden. Durch diese Einstellung identifiziert man den Dienst, für den diese Regel gültig ist. Zum Beispiel filtert der Zielport 80 die Pakete von HTTP Verbindungen. In dieser Spalte sind nur bei den Protokollen TCP und UDP Einträge zulässig, da nur diese mit Ports arbeiten. Ist für die gezeigte Regel kein Zielport festgelegt, wird in der Übersicht ANY angezeigt. |
▪ | Aktion: Die Art der Adressübersetzung. Die entsprechende Aktion wird durchgeführt, wenn alle eingestellten Optionen auf ein Datenpaket zutreffen. Bearbeiten Sie gerade die NAT Regeln eines Incoming Tracks, so sehen Sie hier entweder DNAT oder REDIRECT, bearbeiten Sie einen Outgoing Track, SNAT oder MASQUERADE.
DNAT (Destination NAT): Hier wird die Zieladresse eines Pakets verändert, um das Paket auf einen anderen Computer umzuleiten. Dies ist zum Beispiel der Fall, wenn Sie in Ihrem internen Netz einen Webserver stehen haben. Anfragen kommen an die öffentliche Adresse von Gibraltar und werden durch DNAT auf die interne IP-Adresse des WWW Servers umgeleitet. Auch alle weiteren Pakete dieser Anfrage werden dementsprechend verändert. |
REDIRECT: Diese Einstellung leitet ein eintreffendes Paket auf einen anderen Port auf Gibraltar um. Damit können Sie Anfragen an den lokalen Proxy weiterleiten. Die Zieladresse des Pakets wird hierbei nicht verändert.
SNAT (Source NAT): Mit dieser Einstellung wird die Quell IP-Adresse des Pakets verändert. Dies kann zum Beispiel bei einer HTTP Anfrage eines Clients aus dem privaten Netzwerk durchgeführt werden. Der Client hat die IP-Adresse 192.168.10.36 und versucht eine HTTP Anfrage an den Computer 193.172.22.54. Da der aufrufende Client eine private IP-Adresse hat, würde die Anfrage verworfen werden, sobald sie das private Netz verlässt. Also verändert Gibraltar die Quelladresse des Pakets mit SNAT. Dadurch wird das Paket weitergeleitet und die Antwort wieder an Gibraltar zurückgesandt. Beim Eintreffen gibt Gibraltar das Paket wieder an den aufrufenden Client weiter.
MASQUERADE: Diese Option wird im Zusammenhang mit dynamisch vergebenen, öffentlichen IP-Adressen verwendet, wie sie bei Dial-in Verbindungen Verwendung finden. Dabei werden bei Beendigung der Dial-in Verbindung sämtliche gespeicherte Connections gelöscht. Dies ist notwendig, da ein anderer Teilnehmer, der sich nach Ihnen einwählt, möglicherweise die IP-Adresse zugewiesen bekommt, die vorher von Ihnen verwendet wurde und somit bestehende Verbindungen von Ihnen missbrauchen könnte.
▪ | --to: Die Adresse, mit der das Paket maskiert werden soll. |
▪ | Kommentar : Bewegen Sie den Mauszeiger über dieses Symbol, um den Kommentar zu dieser Regel angezeigt zu bekommen. Dieses Symbol ist nur sichtbar, wenn ein Kommentar zu der Regel eingegeben wurde. |
▪ | Markierte Einträge löschen : Markieren Sie jene Einträge in der Elementgruppe durch Aktivieren des Kontrollkästchens, die Sie löschen wollen. Betätigen Sie anschließend die Schaltfläche in der Kopfzeile, um die Elemente zu löschen. |
▪ | Regel nach oben schieben bzw. Regel nach unten schieben : Betätigen Sie diese Schaltflächen, um die Regel um eine Zeile nach oben bzw. nach unten zu verschieben. Diese Funktionen sind notwendig, da die Reihenfolge der Regeln bei der Abarbeitung wichtig ist. |
▪ | Regel bearbeiten : Betätigen Sie diese Schaltfläche, um die Regel zu bearbeiten. Sie werden in die Detailansicht weitergeleitet. |
▪ | Regel darunter einfügen : Betätigen Sie diese Schaltfläche, um eine neue Regel unter dieser Regel einzufügen. Sie werden in die Detailansicht weitergeleitet. |
▪ | Regel löschen : Betätigen Sie diese Schaltfläche, um die Regel zu löschen. |
▪ | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Regel hinzuzufügen. Sie werden in die Detailansicht weitergeleitet. |
▪ | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
ACHTUNG: Die Veränderungen an den Paketen, die durch NAT durchgeführt werden, führen noch keine Paketfilterung durch. Es sind somit noch eigene Regeln für die Paketfilterung der veränderten Pakete einzufügen, da die Paketfilterung im Falle von eingehenden Paketen erst nach der Veränderung durchgeführt wird und im Falle von ausgehenden Paketen schon vor der Umwandlung.

|