Network Address Translation
Network Address Translation (abgekürzt NAT) ist eine Möglichkeit, externe und interne Netzwerke (WANs und LANs) zu trennen und eine externe IP zwischen Clients im internen Netzwerk zu teilen. NAT kann für IPv4 und IPv6 verwendet werden. Für IPv6 ist auch Network Prefix Translation verfügbar.
Die meisten der folgenden Optionen verwenden drei verschiedene Adressen: die Quell-, Ziel- und Umleitungsadresse. Diese Adressen werden für Folgendes verwendet:
Quelle | Woher der Datenverkehr kommt. Dies kann oft auf „beliebig“ belassen werden. |
Ziel | Wohin der Datenverkehr geleitet wird. Bei eingehendem Datenverkehr von außen ist dies in der Regel Ihre externe IP-Adresse. |
Weiterleiten | Wohin der Verkehr umgeleitet werden soll. |
-
Network Address Translation sollte nicht als Sicherheitsmaßnahme verwendet werden.
-
Wenn Sie pf deaktivieren, wird auch NAT deaktiviert.
Einige Begriffe erklärt
BINAT: NAT arbeitet generell in eine Richtung. Wenn Sie jedoch gleich große Netzwerke haben, können Sie auch BINAT verwenden, das bidirektional ist. Dies kann Ihre Einrichtung vereinfachen. Wenn Sie keine gleich großen Netze haben, können Sie nur normales NAT verwenden.
NAT-Reflexion: Wenn ein Client im internen Netzwerk versucht, auf einen anderen Client zuzugreifen, aber mit der externen IP statt der internen (was am logischsten wäre), kann NAT-Reflection diese Anfrage so umschreiben, dass sie die interne IP verwendet, um zu vermeiden, dass ein Umweg genommen wird und Regeln angewendet werden, die für den tatsächlichen externen Verkehr gedacht sind.
Die mit der Aktivierung von NAT-Reflexion generierten NAT-Regeln umfassen nur Netzwerke, die direkt mit Ihrer Firewall verbunden sind. Das heißt, wenn Sie ein privates Netzwerk haben, das von Ihrem LAN getrennt ist, müssen Sie dieses mit einer manuellen ausgehenden NAT-Regel hinzufügen.
Pool-Optionen: Wenn mehrere IPs zur Auswahl stehen, kann mit dieser Option geregelt werden, welche IP verwendet wird. Die Standardeinstellung, Round Robin, verteilt die Pakete einfach nacheinander an einen Server. Wenn Sie nur eine externe IP haben, hat diese Option keine Auswirkung.
Portweiterleitung
Wenn sich mehrere Clients eine externe IP-Adresse teilen, wird jede Verbindung, die nicht von einem der Clients initiiert wird, nicht erfolgreich sein, da die Firewall nicht weiß, wohin sie den Datenverkehr senden soll. Dies kann durch das Erstellen von Regeln für die Portweiterleitung behoben werden. Damit z. B. ein Webserver hinter der Firewall erreichbar ist, müssen die Ports 80 und 443 dorthin umgeleitet werden.
Die Portweiterleitung wird auch als „Destination NAT“ oder „DNAT“ bezeichnet.
Im Schulrouter Plus kann die Port-Weiterleitung durch Navigation zu Firewall ‣ NAT ‣ Portweiterleitung eingerichtet werden. Hier sehen Sie eine Übersicht der Portweiterleitungsregeln. Neue Regeln können durch Klicken auf Hinzufügen in der oberen rechten Ecke hinzugefügt werden.
Beim Hinzufügen einer Regel sind die folgenden Felder verfügbar:
Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
Kein RDR (NICHT) | Erstellen Sie keine Umleitungsregel. Lassen Sie dies deaktiviert, wenn Sie nicht wissen, was Sie tun. |
Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. In den meisten Fällen wird dies das WAN sein. |
TCP/IP-Version | IPv4, IPv6 oder beides. |
Protokoll | In typischen Szenarien wird dies TCP sein. |
Quelle | Woher der Datenverkehr kommt. Klicken Sie auf „Erweitert“, um die anderen Quelleneinstellungen zu sehen. |
Quelle / Invertieren | Invertierte Übereinstimmung im Feld „Quelle“. |
Quellportbereich | Wenn zutreffend, der Quell-Port, auf den wir passen sollen. Dieser ist in der Regel zufällig und entspricht fast nie dem Ziel-Port-Bereich (und sollte in der Regel ‚any‘ sein). |
Ziel / Invertieren | Invertierte Übereinstimmung im Feld „Ziel“. |
Ziel | Wohin sich der Verkehr bewegt. |
Zielportbereich | Service-Port(s), den/die der Datenverkehr verwendet |
Ziel-IP umleiten | Wohin der Verkehr umgeleitet werden soll. |
Zielport weiterleiten | Welcher Port zu verwenden ist (bei Verwendung von tcp und/oder udp) |
Pool-Optionen | Siehe „Einige Begriffe erklärt“. Die Vorgabe ist die Verwendung von „Round robin“. |
Beschreibung | Eine Beschreibung zum einfachen Auffinden der Regel in der Übersicht. |
Setze lokal-Tag | Legen Sie ein Tag fest, auf das andere NAT-Regeln und Filter prüfen können. |
Prüfe auf die lokale Markierung | Suchen Sie nach einem Tag, das von einer anderen Regel gesetzt wurde. |
Keine XMLRPC-Synchronisation | Verhindern Sie, dass diese Regel mit einem Backup-Host synchronisiert wird. (Das Aktivieren dieser Option auf dem Backup-Host hat keine Auswirkung.) |
NAT reflection | Siehe „Einige Begriffe erklärt“. Lassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. |
Filter Regel Zuordnung | Verknüpfen Sie dies mit einer regulären Firewall-Regel. |
Eins-zu-eins
Eins-zu-eins-NAT übersetzt, wie der Name schon sagt, zwei IPs eins-zu-eins und nicht, wie meist üblich, eins-zu-vielen. In dieser Hinsicht ähnelt es dem, was NPT für IPv6 tut.
Im Schulrouter Plus kann One-to-One-NAT durch Navigation zu Firewall ‣ NAT ‣ One-to-one eingerichtet werden. Hier sehen Sie eine Übersicht der Eins-zu-Eins-Regeln. Neue Regeln können durch Klicken auf Hinzufügen in der oberen rechten Ecke hinzugefügt werden.
Beim Hinzufügen einer Regel sind die folgenden Felder verfügbar:
Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. In den meisten Fällen wird dies das WAN sein. |
Typ | BINAT (Standard) oder NAT. Siehe „Einige Begriffe erklärt“. |
Externes Netzwerk | Startadresse des externen Netzwerks, von/nach dem die Adressen übersetzt werden sollen. |
Quelle / invertieren | Invertierte Übereinstimmung im Feld „Quelle“. |
Quelle | Das interne Netzwerk für diese Zuordnung, in der Regel ein RFC 1918 Bereich |
Ziel / Invertieren | Invertierte Übereinstimmung im Feld „Ziel“. |
Ziel | Die Zielnetzwerkpakete sollten übereinstimmen, bei der Verwendung zur Abbildung externer Netzwerke ist dies normalerweise |
Beschreibung | Eine Beschreibung zum einfachen Auffinden der Regel in der Übersicht. |
NAT reflection | Siehe „Einige Begriffe erklärt“. Lassen Sie dies auf der Standardeinstellung, es sei denn, Sie haben einen guten Grund, dies nicht zu tun. |
Ausgehend
Wenn ein Client in einem internen Netzwerk eine ausgehende Anfrage stellt, muss das Gateway die Quell-IP auf die externe IP des Gateways ändern, da der externe Server sonst keine Antwort zurücksenden kann.
Outbound NAT wird auch als „Source NAT“ oder „SNAT“ bezeichnet.
Wenn Sie nur eine externe IP haben, dann lassen Sie die Optionen für ausgehendes NAT auf automatisch. Wenn Sie jedoch mehrere IP-Adressen haben, möchten Sie vielleicht die Einstellungen ändern und einige benutzerdefinierte Regeln hinzufügen.
Die wichtigsten Einstellungen für den Ausgang sind wie folgt:
Automatische ausgehende NAT Regelgenerierung | Der Standard. Folgt dem oben beschriebenen Verhalten und ist für die meisten Szenarien gut geeignet. |
Manuelle Erstellung ausgehender NAT Regeln | Es werden keine automatischen Regeln generiert. Sie können manuell hinzugefügt werden. |
Hybride Erstellung ausgehender NAT Regeln | Es werden automatische Regeln hinzugefügt, aber es können auch zusätzliche manuelle Regeln hinzugefügt werden. |
Deaktiviere Erstellung ausgehender NAT Regeln | Deaktiviert ausgehendes NAT. Dies wird z. B. für transparent bridges verwendet. |
Neue Regeln können durch Klicken auf Hinzufügen in der oberen rechten Ecke hinzugefügt werden.
Beim Hinzufügen einer Regel sind die folgenden Felder verfügbar:
Deaktiviert | Deaktivieren Sie diese Regel, ohne sie zu entfernen. |
Nicht NATen | Deaktivieren Sie NAT für den gesamten Verkehr, der auf diese Regel passt. Lassen Sie dies deaktiviert, wenn Sie nicht wissen, was Sie tun. |
Schnittstelle | Für welche Schnittstelle diese Regel gelten soll. In den meisten Fällen wird dies das WAN sein. |
TCP/IP-Version | IPv4 oder IPv6 |
Protokoll | In typischen Szenarien wird dies TCP sein. |
Quelle invertieren | Invertierte Übereinstimmung im Feld „Quelle“. |
Quelle | Das zu übereinstimmende Quellnetzwerk |
Quellport | Wenn zutreffend, der Quell-Port, auf den wir passen sollen. Dieser ist in der Regel zufällig und entspricht fast nie dem Ziel-Port-Bereich (und sollte in der Regel ‚any‘ sein). |
Ziel invertieren | Invertierte Übereinstimmung im Feld „Ziel“. |
Ziel | Zu übereinstimmendes Zielnetzwerk |
Zielport | Service-Port, den der Datenverkehr verwendet |
Übersetzung / Ziel | In was passende Pakete übersetzt werden sollen. |
Protokoll | Legt Pakete, die dieser Regel entsprechen, in den Protokollen ab. Verwenden Sie dies sparsam, um ein Überlaufen der Protokolle zu vermeiden. |
Übersetzung / Hafen | Welcher Port auf dem Ziel verwendet werden soll |
Statischer Anschluss | Verhindert, dass pf(4) den Quellport von TCP- und UDP-Paketen ändert. |
Pool-Optionen | Siehe „Einige Begriffe erklärt“. Die Vorgabe ist die Verwendung von „Round robin“. |
Setze lokal-Tag | Legen Sie ein Tag fest, auf das andere NAT-Regeln und Filter prüfen können. |
Prüfe auf die lokale Markierung | Suchen Sie nach einem Tag, das von einer anderen Regel gesetzt wurde. |
Keine XMLRPC-Synchronisation | Verhindern Sie, dass diese Regel mit einem Backup-Host synchronisiert wird. (Das Aktivieren dieser Option auf dem Backup-Host hat keine Auswirkung.) |
Beschreibung | Eine Beschreibung zum einfachen Auffinden der Regel in der Übersicht. |