Getting Started: Network Address Translation (NAT)

Getting Started: Network Address Translation (NAT)

309730
Created On 09/26/18 13:44 PM - Last Modified 10/18/23 01:59 AM


Resolution


Nachdem Sie Ihre Firewall nach den vorherigen Raten der Getting Started-Serie eingerichtet haben, möchtenSie vielleicht mit der Einrichtung von Servern beginnen. Es sei denn, Sie den Luxus haben des Besitzens einer öffentlichen IP-Subnetz groß genug, um alle Ihre internen Hosts host Details unten weisen Sie wie Network Address Translation (NAT) oder Port-Adresse Translation (PAT) Gastgeber von außen erreichbar machen, oder eine bestimmte IP-Adresse ausgehen mit dem Internet verwenden konfigurieren.

 

In dieser Ausgabe werde ich ein paar Szenarien diskutieren, die sich als nützlich bei der Festlegung wie NAT oder klopfen, um Ihre Bedürfnisse bestmöglich zu konfigurieren, und werfen in ein paar Einschränkungen zu achten.

 

 

Viele-zu-eins, Hide NAT, Quell-NAT

 

Um die Grundlagen zu decken, ist verbergen NAT die häufigste Verwendung der Adresse Übersetzung gibt. Es blendet alle interne Subnetze hinter einem einzigen externe öffentliche IP-Adresse und wird ähnlich der folgenden aussehen:

2016-09-28_15-16-04.png

Diese NAT-Politik wird übersetzen alle Sitzungen mit Ursprung aus der Vertrauen-Zone, das Sicherheitszertifikat Zone ausgehen und wechselt die Quell-Adresse auf die IP-Adresse, an die externe physische Schnittstelle zugewiesen. Es wird auch den Quellport randomisieren.

Rückkehr, dass Pakete werden automatisch umgekehrt übersetzt als Firewall unterhält eine Statustabelle tracking alle aktiven Sitzungen und ihre NAT-Aktionen

 

N-NAT

 

Eine Variation auf das einfache ausblenden NAT Politik ist zu addieren mehr Quelladressen wenn mehr zur Verfügung stehen. Wenn beispielsweise Ihr ISP eine öffentliche Subnetz von 29 oder größer vorgesehen, müssen Sie zusätzliche IP-Adressen, die für alle möglichen Dinge verwendet werden können. Wenn Ihr internes Netzwerk recht groß ist, können diese zusätzlichen Adressen benötigt werden, um eine Überzeichnung des NAT-Pools zu verhindern.

Für diese Konfiguration wird der Adresstyp von 'Schnittstelle' geändert "Adresse übersetzt." Die verfügbaren IP-Adressen werden dann entweder als einen IP-Bereich oder einem IP-Subnetz hinzugefügt:

2016-09-28_16-15-33.png

Die Firewall wird eine IP aus dem verfügbaren Pool basierend auf einen Hash für die Quell-IP-Adresse auswählen. Diese Quell-Adresse bleibt gleich für alle Sitzungen aus dieser Quelle IP-Adresse. Der Quellport wird noch randomisiert werden.

 

Wenn die Quelle Ports müssen bleiben unverändert (einige Anwendungen erfordern einen bestimmten Quellport) die Art der Übersetzung auf dynamische IP eingestellt werden kann die Quell-Port der Client pro Sitzung erhalten wird. Die übersetzte Adresse durch "nächste verfügbar" das heißt, es gibt einige Einschränkungen:

  • Nicht mehr als 32,000 aufeinander folgenden IP-Adressen werden unterstützt
  • Der übersetzten Adressen-Pool muss gleich groß oder größer als Ihre interne Anzahl der Hosts, als jeder internen Host erhält eine eigene übersetzte Adresse

 

Wenn die oben genannten Kriterien in der Regel erfüllt sind aber manchmal gebrochen werden könnte, kann ein Sicherungssatz zurück zu dynamische IP-Adresse und Port fehlschlägt. Sowohl die übersetzte Adresse und die Adresse der Schnittstelle-Optionen stehen zur Verfügung, der Standardwert ist none:

2016-09-28_16-46-49.png

 

Eins zu eins NAT, statisches NAT

 

Benötigen Sie einen Server aus dem Internet zur Verfügung stellen, wie einen lokalen SMTP oder Webserver, eine eins zu eins NAT-Politik muss an geschaffen werden, die eingehende Verbindungen zu einem bestimmten Server weiterleitet. Es gibt ein paar verschiedene Möglichkeiten zur Verfügung:

 

Bi-direktionale Politik:

 

In eine Bi-direktionale Politik eine regelmäßige ausgehende statischen NAT Politik wird genau wie die oben genannten NAT-Richtlinien erstellt und die Bi-direktionale Flag ist gesetzt, wodurch die Sytem eine (unsichtbare) implizite eingehende Richtlinie erstellen.

2016-09-29_13-37-30.png

 

Die Politik wird Quelle von Vertrauen und mit eine Quelladresse setzen auf interne IP-Adresse und Quelle Übersetzung wird die öffentliche NAT-Adresse des Servers für Unglaubwürdigkeit, bestimmt sind. Eine implizite Richtlinie wird mit einer Quelle Zone der Unglaubwürdigkeit und Ziel eines Ziel-IP des öffentlichen NAT-Adresse und Ziel-Übersetzung auf die Server IP-Adresse erstellt werden.

Dies ist eine einfache Möglichkeit, mehrere 1: 1-Übersetzungen erstellen und funktioniert perfekt, wenn Sie mehrere Server haben ihre eigene eindeutige öffentliche IP-Adresse, das bringt uns zu:

 

Uni-direktionale Politik:

 

Uni-direktionale NAT ermöglicht ein wenig mehr Kontrolle über die Politik als Bi-direktionale, und es ermöglicht PAT oder Port Address Translation. PAT können Sie eine einzelne öffentliche IP-Adresse über verschiedene interne Dienste gemeinsam nutzen.

 

In den nächsten 3 Regeln sehen Sie 3 verschiedene Beispiele von eingehenden statisches NAT:

  • Regel #1 ist eine traditionelle eins-zu-eins-Regel, die alle eingehenden Ports auf den internen Server übersetzt und den Zielport behält .
  • Regel #2 übersetzt nur eingehende Verbindungen auf dem Zielport 80 auf den internen Server auf Port 8080
  • Regel #3 übersetzt eingehende Sitzungen für die gleiche öffentliche IP-Adresse wie Regel #2, aber für Destination Port 25 auf einen anderen internen Server bei gleichzeitiger Beibehaltung des Zielhafens 25

2016-09-29_14-08-55.png

Vorsichtsmaßnahmen:   

  • Warum sollen die Empfangszonen Vertraulichkeit und was ist mit den Ziel-Schnittstellen?
  • 'Beliebig' eignet sich als Zieladresse für ein inbound (Vertraulichkeit um Vertraulichkeit) NAT

 

Die Sicherheitsrichtlinie sollte so eingestellt sein, damit die Quelle Zone Vertraulichkeit, Zielzone (Endziel Zone) ist Vertrauen und das Ziel, die Adressen sind öffentliche Adressen, Pre-NAT.

2016-09-29_14-45-22.png

 

 

Quell- und NAT

 

In einigen Szenarien kann es erforderlich, Quell- und Ziel-NAT zur gleichen Zeit ausführen. Ein häufiges Beispiel ist eine Kehrtwende Situation, wo internen Hosts müssen eine Verbindung zu einem internen Server, die im selben Netzwerk wie der Client auf öffentliche IP-Adresse ist.

Es gibt bereits einen tollen Artikel und ein Tutorial -Video, das U-Turn im Detail abdeckt, aber die kurze Beschreibung ist:

 

Um interne Ressourcen auf eine öffentliche IP-Adresse zu erreichen zu können, muss eine neue NAT-Richtlinie erstellt werden, um Vertrauen, um die Vertraulichkeit der Übersetzung zu berücksichtigen.

 

Wenn Quelle Übersetzung nicht in dieser Richtlinie enthalten ist, erhalten die Server Pakete mit der ursprünglichen Quell-Adresse, wodurch der Server Antwortpakete direkt an den Client zu senden.

 

Dadurch entsteht eine asymmetrische Schleife: Client-Server-Firewallclient und den Firewall-Sitzung werden beendet, da es TCP Sanity Checks verletzt.

 

Die Lösung ist Quelle Übersetzung auf, z. B. die Firewall IP, hinzufügen, damit der Server Antwortpakete an der Firewall, zulassend "stateful" Sitzungen gesendet werden.

 

2016-09-29_17-13-56.png 

 

BONUS: NAT auf eine VWire

 

NAT kann auch auf eine VWire implementiert werden, wenn Sie in der Lage sind, die routing-Tabelle auf Ihrem Router zu bearbeiten (ein ISP-Router kann dies nicht zulassen). Idealerweise würde man einen Router an beiden Enden des VWire, Dinge einfach zu halten, aber bist du bereit für eine Herausforderung, Sie erhalten auch dies mit nur einem vorgeschalteten Router funktioniert:

 

Zwischen den beiden Routern sollten Sie einen kleinen Punkt Subnetz, z. B. 10.0.0.0/30 erstellen. Jeder Router eine IP-Adresse zuweisen und Routen für die übersetzten IP-Adressen, wies auf die remote-Router IP des Routers befindet sich auf der übersetzten Seite hinzufügen. zB. Fügen Sie eine Route für 198.51.100.1 auf dem Sicherheitszertifikat Router, wies auf die vertrauenswürdigen Router-IP. Die Firewall kümmert sich um den Rest.

 

2016-09-29_15-44-03.png

 

 

Vorbehalte

 

  • Die Zonen Auflösung wird durch Routen Abfragen erreicht. Wenn ein Paket auf der Firewall empfangen wird, wird ein routing-Lookup durchgeführt, um zu überprüfen, wo die Quelle Subnetz und Ziel-Subnetz an weitergeleitet werden, und die entsprechende Zone ist die Sitzung zugewiesen. Bei eingehenden Datenverkehr aus dem Internet werden die Quelle Zone Unglaubwürdigkeit, da die Default Route 0.0.0.0/0 darauf, das Sicherheitszertifikat-Interface hingewiesen wird und die Ziel-IP-Adresse Pre-NAT, Sicherheitszertifikat ist auch wie sie die IP-Adresse, an der nicht vertrauenswürdigen Schnittstelle (198.51.100.0/24 in den obigen Beispielen) befestigt ist

 

  • Die Nutzung von Ziel Schnittstellen in der NAT-Politik kann helfen, Konflikte bei der Nutzung ähnlicher NAT-Richtlinien zu verhindern. Zb. Wenn zwei externe Schnittstellen vorhanden, auf zwei verschiedenen Providern sind können Pflege verschiedene öffentliche IP-Adressen, zwei identische ausgehende NAT-Regeln konfiguriert werden.2016-09-29_14-54-22.png

 

  • Wenn eine NAT-IP verwendet wird, die nicht physisch auf einer Schnittstelle konfiguriert ist (z. b. Interface 198.51.100.1, NAT für Server 198.51.100.5), sendet die Firewall Kosten lose ARP -Pakete aus, um Nachbarn zu informieren, dass Sie eine IP-Adresse beherbergt und auf ARP-Anfragen antworten wird. von den vorgelagerten Geräten. Gratuitous ARP kann auch manuell ausgelöst werden:
    admin @ myfw > Test ARP grundlose Interface Ethernet1/1 IP 198.51.100.6

    1 Arps wurden gesendet
    Achtung: Wenn eine NAT-Regel so konfiguriert ist, dass die Übersetzung auf ein Subnetz angewendet wird, das nicht auf einer Schnittstelle konfiguriert ist, sendet die Firewall grundlose ARP für alle IP-Adressen im Subnetz aus.

 

  • Da die Firewall Proxy ARP-Auflösung in die Zieladresse nach Reiseziel aufgelisteten Adressen vorsieht (inbound) NAT die Zieladresse Subnetz muss das Ziel Übersetzung Subnetz übereinstimmen. Es ist nicht erlaubt, "irgendwelche" als Zieladresse zu verwenden.  

 

  • Bei der Erstellung von NAT-Richtlinien für interne Clients, um Server im DMZ oder vertrauenswürdiges Netzwerk über ihre öffentlichen IPS zu erreichen, sollten Sie diese unabhängig von der Hide-NAT-Richtlinie platzieren .

 

zurück zum Anfang

 

 

Überzeichnung

 

Überzeichnung tritt auf, wenn die Firewall hat mehrere (mindestens zwei) gleichzeitige Sitzungen teilen die gleiche IP-Adresse und Port-paar übersetzt und Skalierbarkeit bietet, wenn es gibt zu wenige öffentliche IP-Adressen für den Betrag von Sitzungen erstellt wird. ZB. Normalerweise wäre die maximale Anzahl an gleichzeitigen Sitzungen 64 K (65,000 Quellports minus 1024 "Serverports"). Überzeichnung, abhängig von der Plattform ermöglicht bis zu 512 K gleichzeitige Sessions pro IP mit einer Überzeichnung von 8 X.

 

Einige Verwandte Artikel:

Gewusst wie: Ändern der NAT Überzeichnung

Gewusst wie: überprüfen die Überzeichnung auf eine NAT-Regel

 

zurück zum Anfang

 

 

 

Danke fürs Lesen!

Schnitter
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllzCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language