1-to-1 NAT Konfigurieren

Gilt für: Cloud-verwaltete Fireboxen

1-to-1 NAT-Richtlinien werden häufig verwendet, um IP-Adressen in einem Netzwerk IP-Adressen in einem anderen Netzwerk zuzuordnen (Nord-Süd-Datenverkehr). Sie können auch 1-to-1 NAT-Richtlinien verwenden, um verschiedene IP-Adressen innerhalb Ihres eigenen Netzwerks (Ost-West-Datenverkehr) zuzuordnen.

Sie können 1-to-1 NAT für jede Schnittstelle konfigurieren und eine 1-to-1 NAT-Richtlinie auf eine IP-Adresse, einen Adressbereich oder ein Subnetz anwenden. Eine 1-to-1 NAT-Richtlinie hat immer Vorrang in der Reihenfolge vor dynamischem NAT.

Wenn Sie 1-to-1 NAT konfigurieren, können für 1-to-1 NAT verwendete IP-Adressen für keine anderen Zwecke genutzt werden. Sie können zum Beispiel auch keine 1-to-1 NAT-IP-Adressen für den eingehenden Datenverkehr oder für Firebox-Funktionen wie VPNs verwenden.

1-to-1 NAT und Regeleinstellungen

Standardmäßig verwenden alle neuen Firewall-Regeln die 1-to-1 NAT-Richtlinien. In den erweiterten Einstellungen einer Regel können Sie 1-to-1 NAT aktivieren oder deaktivieren. Weitere Informationen zur Konfigurierung von 1-to-1 NAT-Einstellungen für eine Regel finden Sie unter 1-to-1 NAT in einer Firewall-Regel konfigurieren.

1-to-1 NAT-Richtlinie konfigurieren

In jeder 1-to-1 NAT-Richtlinie können Sie einen Host, einen Bereich von Hosts oder ein Subnetz konfigurieren. Sie legen außerdem folgende Einstellungen fest:

Netzwerk

Die externe oder interne Schnittstelle, auf die 1-to-1 NAT angewendet wird. Ihre Firebox wendet 1-to-1 NAT für Pakete an, die an die Schnittstelle gesendet werden, und für Pakete, die von der Schnittstelle ausgehen.

Anzahl der Hosts (nur IP-Bereiche)

Dies ist die Anzahl der IP-Adressen in einem Bereich, für den die 1-to-1 NAT-Richtlinie gilt. Bei Anwendung von 1-to-1 NAT, wird die erste IP-Adresse der realen Basis in die erste IP-Adresse der NAT-Basis übersetzt. Die zweite Real-Basis-IP-Adresse im Bereich wird in die zweite NAT-Basis-IP-Adresse übersetzt und so weiter. Dies wird so lange wiederholt, bis die Anzahl der Hosts für NAT erreicht ist. Sie können bis zu maximal 254 Hosts hinzufügen.

NAT-Basis

Wenn Sie eine 1-to-1 NAT-Richtlinie konfigurieren, konfigurieren Sie die Richtlinie mit einem von- und einem bis-Bereich von IP-Adressen. Die NAT-Basis ist die erste verfügbare IP-Adresse im Adressbereich bis. Die NAT-Basis-IP-Adresse ist die Adresse, in die die Real-Basis-IP-Adresse geändert wird, wenn die Firebox 1-to-1 NAT anwendet. Sie können die IP-Adresse einer vorhandenen Ethernet-Schnittstelle nicht als NAT-Basis verwenden. Bei NAT über eine externe Schnittstelle ist die NAT-Basis die öffentliche IP-Adresse.

Um eine Verbindung zu einem Computer an einer anderen Schnittstelle mit 1-to-1 NAT herzustellen, müssen Sie für diesen Computer die öffentliche IP-Adresse (NAT-Basis) verwenden. Alternativ können Sie 1-to-1 NAT deaktivieren und statisches NAT verwenden. Weitere Informationen finden Sie unter Statische NAT-Aktionen von Fireboxen konfigurieren.

Reale Basis

Wenn Sie eine 1-to-1 NAT-Richtlinie konfigurieren, konfigurieren Sie die Richtlinie mit einem von- und einem bis-Bereich von IP-Adressen. Die Reale Basis ist die erste verfügbare IP-Adresse im Adressbereich von. Es ist die IP-Adresse der physischen Ethernet-Schnittstelle des Computers zugewiesen, auf den Sie die 1-to-1 NAT-Richtlinie anwenden. Wenn Pakete von einem Endpoint mit einer Real-Basis-Adresse die angegebene Schnittstelle passieren, wendet die Firebox die Aktion 1-to-1 NAT an. Bei NAT über eine externe Schnittstelle ist die Reale Basis die private IP-Adresse.

Bei einer externen Schnittstelle bezieht sich Reale Basis auf die realen (privaten) IP-Adressen der Hosts in Ihrem Netzwerk und NAT-Basis auf die öffentlichen IP-Adressen, die Sie den privaten Adressen zuordnen möchten.

Aktivieren Sie 1-to-1 NAT nicht, wenn Sie nur über eine einzige oder über eine geringe Anzahl öffentlicher IP-Adressen verfügen. 1-to-1 NAT funktioniert nicht, wenn Sie nur über eine öffentliche IP-Adresse verfügen. Wenn Sie nur über wenige öffentliche IP-Adressen verfügen, empfehlen wir statisches NAT (SNAT), damit Sie Ihre öffentlichen IP-Adressen besser nutzen können. Weitere Informationen finden Sie unter Statische NAT-Aktionen von Fireboxen konfigurieren.

So konfigurieren Sie eine 1-to-1 NAT-Richtlinie von WatchGuard Cloud:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Cloud-verwaltete Firebox.
  3. Klicken Sie auf Gerätekonfiguration.
  4. Klicken Sie im Abschnitt Netzwerk auf die Kachel NAT.
    Die Seite NAT wird geöffnet.

Screen shot of the NAT configuration page

  1. Klicken Sie im Abschnitt 1-to-1 NAT auf 1-to-1 NAT hinzufügen.
    Das Dialogfeld Richtlinie hinzufügen‭ wird geöffnet.

Screen shot of the Add Rule page

  1. Wählen Sie aus der Dropdown-Liste Kartentyp eine der folgenden Optionen aus:
    • Einzelne IP — Einen Host zuordnen.
    • IP-Bereich — Einen Bereich von Hosts zuordnen.
    • IP-Subnetz — Ein Subnetz zuordnen.

    Wenn Sie IP-Bereich auswählen, geben Sie kein Subnetz oder keinen Bereich mit mehr als 254 IP-Adressen an. Wenn Sie 1-to-1 NAT auf mehr als 254 IP-Adressen anwenden möchten, müssen Sie mehrere 1-to-1 NAT-Richtlinie erstellen.

Screen shot of Add Rule page with all types

  1. Konfigurieren Sie die Einstellungen für Netzwerk, NAT-Basis und Reale Basis. Weitere Informationen finden Sie im Abschnitt Eine 1-to-1 NAT-Richtlinie definieren dieses Themas.

Screen shot of Add Rule page with types selected

  1. Geben Sie im Feld Anzahl der Hosts einen Wert ein (nur IP-Bereich).
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.

Screen shot of NAT page with network added

  1. Fügen Sie die NAT-IP-Adressen den entsprechenden Regeln hinzu. Weitere Informationen finden Sie unter 1-to-1 NAT in einer Firewall-Regel konfigurieren.

Ähnliche Themen

Dynamisches NAT konfigurieren

Über Firebox-Netzwerkeinstellungen