NAT begrijpen op Sophos Firewall: SNAT, DNAT, MASQ, PAT
NAT is een van de onderwerpen op de Sophos Firewall die in de praktijk al snel verwarrend wordt. De termen klinken vergelijkbaar, het regelmasker werkt met Original en Translated, en in de Log Viewer zie je afhankelijk van de locatie andere adressen dan verwacht.
Dit artikel legt de belangrijkste NAT-typen uit, toont typische praktijkgevallen en beschrijft een DNAT-voorbeeld met een geschikte firewallregel.
Het belangrijkste praktische punt is: NAT moet samen met de firewallregel, routing, retourpad en loggen worden beschouwd. Veel NAT-problemen komen niet voort uit de vertaling zelf, maar uit een onjuiste regelvolgorde, een verkeerd begrepen Original destination, ontbrekende logboekregistratie of tests van het verkeerde netwerk.
Oriëntatie
Voordat een NAT-regel wordt gebouwd, moet eerst duidelijk zijn welk probleem werkelijk wordt opgelost. NAT vertaalt adressen of poorten, maar vervangt geen firewall-vrijgave en een schoon routeringsontwerp.
Welk NAT artikel past?
NAT overlapt snel met firewallregels, routing, WAF, VPN en Packet Capture. Afhankelijk van de taak is dit basisartikel niet altijd de beste manier om te beginnen:
- NAT, SNAT, DNAT, MASQ, PAT, Loopback en Reflexive Rules begrijpen: dit artikel.
- Interne server via port forwarding publiceren: Server via DNAT op Sophos Firewall publiceren.
- HTTP- of HTTPS-applicatie publiek beschikbaar stellen: Sophos Firewall WAF: webserver veilig publiceren.
- Firewallregels en NAT samen beoordelen: Sophos Firewall-regels begrijpen en veilig configureren.
- Een afzonderlijke verbinding met logs en Packet Capture testen: Firewallregel testen met Log Viewer, Policy Test en Packet Capture.
- NAT controleren bij IPsec, XFRM, SD-WAN of overlappende netwerken: Sophos Firewall IPsec VPN Troubleshooting.
- Drops,
Violation, Rule ID of NAT Rule ID analyseren: Verworpen pakketten op Sophos Firewall analyseren.
Dit zorgt ervoor dat het oplossen van problemen strenger wordt: maak eerst duidelijk of het om vertaling, vrijgave, routering, webserverbescherming of pakketstroom gaat. Daarna hoeft alleen de betreffende laag te worden gewijzigd.
NAT is een vertaling, geen release
Network Address Translation wijzigt de adressen of poorten van een pakket terwijl het door de Sophos Firewall gaat. NAT beslist echter niet alleen of verkeer is toegestaan.
⚠️ Een NAT-regel staat geen verkeer toe. De regel vertaalt alleen adressen of poorten. Ook voor verkeer via de firewall is altijd een passende firewallregel vereist.
Typische NAT-gevallen:
- Interne clients hebben toegang tot internet via de openbare WAN-IP.
- Een interne server wordt gepubliceerd via een openbare IP.
- Een publieke poort wordt vertaald naar een andere interne poort.
- Overlappende netwerken worden vertaald voor VPN-verbindingen.
- Interne clients hebben via de openbare DNS-naam toegang tot een interne server.
Snelle beslissing: NAT of geen NAT?
Veel NAT-fouten ontstaan omdat NAT als standaardoplossing wordt gebruikt, ook al zou routering of een firewallregel voldoende zijn. Vóór elke nieuwe NAT-regel moet u eerst beslissen of een adres of een poort echt moet worden gewijzigd.
- Client van de LAN zou normaal toegang moeten hebben tot internet: Een algemene SNAT- of MASQ-regel is meestal voldoende.
- Interne server moet toegankelijk zijn vanaf internet: Gebruik DNAT of controleer voor HTTP/HTTPS eerst WAF.
- Extern moet een andere poort worden gebruikt dan intern: Plan DNAT met PAT en voeg de juiste firewallregel toe.
- Interne gebruikers hebben toegang tot dezelfde openbare FQDN: Controleer eerst de gesplitste DNS, gebruik alleen loopback NAT indien nodig.
- Lokale en externe VPN-netwerken zijn duidelijk: Gebruik NAT meestal niet, maar bouw routerings- en firewallregels netjes op.
- VPN-netwerken overlappen elkaar of het externe station heeft een specifieke bron nodig: Gebruik gerichte SNAT of DNAT met gedocumenteerd vervangend netwerk.
- Er mag slechts één firewallregel worden toegestaan of beperkt: Bouw geen NAT. Pas de firewallregel aan.
Als het antwoord op “Wat moet er vertaald worden?” is niet duidelijk, er mag geen NAT-regel worden gemaakt. Controleer vervolgens eerst de pakketstroom, het bestemmingsadres, het retourpad en Log Viewer. Vooral voor interne VLAN’s, site-to-site VPN’s zonder overlappende netwerken en gerouteerde servernetwerken is geen NAT vaak de schonere oplossing.
Begrijp de basisprincipes van NAT
Het regelmasker wordt veel eenvoudiger als u eerst onderscheid maakt tussen origineel verkeer en vertaald verkeer. Dan wordt duidelijker of de bron, bestemming of dienst aangepast moet worden.
De belangrijkste NAT-soorten
- SNAT: Vertaalt de bron IP. Meestal wanneer interne clients of servers toegang moeten krijgen tot internet met een specifieke openbare IP.
- MASQ: Vertaalt de bron IP naar de IP van de uitgaande interface. Dit is het standaardgeval voor LAN tot WAN.
- DNAT: Vertaalt de bestemming IP. Hierdoor wordt een interne server toegankelijk via een publieke IP.
- PAT: Vertaalt poort of service. Dit betekent dat een externe poort naar een andere interne poort verwijst.
- Loopback NAT: Maakt interne toegang mogelijk via openbare IP of openbare FQDN. Interne clients gebruiken dezelfde DNS-naam als externe gebruikers.
- Reflexieve regel: Creëert een reflecterende bron NAT-regel. Hierdoor kan een gepubliceerde server met een geschikte publieke identiteit aan het uitgaande verkeer verschijnen.
Als mentaal model helpt het: NAT geeft geen antwoord op de vraag “Is dit verkeer toegestaan?”, maar eerder “Hoe moet het adres of de poort er onderweg uitzien?”
Lees het origineel en correct vertaald
In de NAT-regels beschrijft Original het verkeer zoals het aankomt bij de Sophos Firewall. Translated beschrijft het na vertaling.
- Original source: Bronadres vóór NAT.
- Translated source (SNAT): Bronadres naar NAT.
- Original destination: Doeladres vóór NAT.
- Translated destination (DNAT): Doeladres na NAT.
- Original service: Service of poort vóór NAT.
- Interfaces en VPN:
Anyis bij DNAT- of VPN-scenario’s vaak correct voor inbound en outbound interfaces, omdat VPN-tunnels niet altijd als normale fysieke interfaces worden behandeld. - Vertaalde service (PAT): Service of poort naar NAT.
Als er fouten zijn, moet u eerst noteren hoe het pakket eruit ziet vóór NAT. Vervolgens definieert u wat de firewall ermee moet doen.
Plan NAT vóór wijziging
Voordat u een NAT-wijziging aanbrengt, moet u niet alleen naar de NAT-regel zelf kijken. De gehele pakketstroom is cruciaal: waar komt het pakket aan, welke firewallregel staat het verkeer toe, welke NAT-regel vertaalt het, waar gaat het antwoord naartoe en hoe wordt het resultaat gecontroleerd?
Deze punten moeten vóór de wijziging duidelijk zijn:
- Pakket vóór NAT: Bron, Bestemming en Service moeten overeenkomen met de
Original-kant van de NAT-regel. - Pakket volgens NAT:
Translated source,Translated destinationenTranslated servicemoeten opzettelijk worden ingesteld. - Firewallregel toestaan: NAT staat geen verkeer toe. Zonder een geschikte firewallregel blijft de vertaling ineffectief.
- Meer algemene NAT-regels: De eerste overeenkomende NAT-regel wint. Een brede regel SNAT of MASQ kan specifiekere regels onduidelijk maken.
- Retourpad: Veel NAT-problemen zijn feitelijk routerings-, retourpad- of bestemmingssysteemproblemen.
- Testmethode: Log Viewer, Regel-ID, NAT Rule ID en Packet Capture moeten vóór het testen worden voorbereid.
Sophos Firewall-regels begrijpen en veilig configureren helpt u de juiste firewallregel te vinden. Als het onduidelijk is of de regel überhaupt van toepassing is, is Sophos Firewall Regel is niet van toepassing: Controleer oorzaken de betere start voor het oplossen van problemen.
Praktische voorbeelden: Wanneer gebruik je wat?
- Clienten van de LAN moeten toegang hebben tot internet: MASQ of SNAT. Voorbeeld:
10.10.10.80gaat naar buiten met de WAN-IP firewall. - Interne webserver moet toegankelijk zijn vanaf extern: DNAT. Voorbeeld: De openbare WAN-IP verwijst naar
172.16.16.10. - Er wordt extern een andere poort gebruikt dan intern: PAT. Voorbeeld: Externe
TCP 5555, interneTCP 443. - Interne gebruikers gebruiken dezelfde FQDN als externe gebruikers: Loopback NAT. Voorbeeld:
service.example.comverwijst intern en extern naar dezelfde service. - Gepubliceerde server moet uitgaand lijken met specifieke openbare IP: SNAT of Reflexive Rule. Voorbeeld: een mailserver verzendt met gedefinieerde openbare IP.
- VPN-netwerken overlappen elkaar: SNAT of DNAT. Voorbeeld: Site A ziet Site B via een vertaald netwerk.
- Intern verkeer zou ongewijzigd moeten blijven: Geen NAT. Routing- en firewallregels zijn voldoende.
Niet al het verkeer heeft NAT nodig. Tussen interne VLAN’s, via site-to-site VPN’s zonder overlappende netwerken of naar direct gerouteerde netwerken is NAT vaak zelfs schadelijk omdat logs, externe stations en doelsystemen de echte bron IP verliezen. Een goede NAT-planning bepaalt dus eerst of er überhaupt vertaald moet worden.
NAT soorten in de praktijk
De volgende typen NAT lossen verschillende taken op. In productieve omgevingen moet men bewust selecteren welke vertaling nodig is in plaats van NAT te gebruiken als algemene oplossing voor routeringsproblemen.
SNAT: Bron NAT
SNAT wijzigt het bronadres. Het klassieke geval is uitgaande internettoegang vanaf de LAN. De clients behouden intern hun interne IP-adressen, maar het openbare adres van de firewall of een gedefinieerde openbare IP verschijnt extern.
Typische SNAT-regel voor LAN tot WAN:
- Original source: intern LAN of servernetwerk.
- Translated source (SNAT):
MASQof vast openbaar IP. - Original destination:
Any. - Translated destination (DNAT):
Original. - Original service:
Anyof gedefinieerde Services. - Vertaalde dienst (PAT):
Original. - Inbound interface: interne interface of
Any. - Uitgaande interface: WAN-interface. Voor eenvoudige omgevingen is een generieke SNAT-regel vaak duidelijker dan veel individueel gekoppelde NAT-regels.
MASQ: Maskerade
MASQ is een handige SNAT variant. Standaard vertaalt MASQ het bronadres naar het IP-adres van de uitgaande interface. Voor normale internettoegang is dit meestal de WAN-IP.
In de basisconfiguratie heeft de Sophos Firewall een standaard SNAT-regel met MASQ. Als u deze regel niet wilt gebruiken, is deactiveren meestal schoner dan verwijderen. Anders kan de standaardregel opnieuw verschijnen bij het maken of bijwerken van een WAN-interface.
Struikelblok: met routegebaseerde VPN’s kan MASQ er anders uitzien dan verwacht. Als lokale en externe subnetten zijn ingesteld op Any of er dubbele IP-configuraties worden gebruikt, kan de firewall de XFRM-IP als vertaalde bron gebruiken. In Packet Capture of tcpdump kun je dan de WAN-IP in de buitenste header zien en de XFRM-IP in de innerlijke context.
Andere struikelblokken gelden voor het beleidsmatige IPsec. Als vertaald verkeer moet worden toegewezen aan een specifieke IPsec-tunnel, kunnen IPsec-routes en de instelling Uitgaande interface in SNAT-regels van cruciaal belang zijn. Het proces vindt plaats in IPsec Route maken op Sophos Firewall.
NAT op VPN, SD-WAN en overlappende netwerken
NAT wordt snel complexer in VPN- en SD-WAN-omgevingen dan eenvoudig LAN naar WAN-verkeer. Het belangrijkste principe blijft hetzelfde: ten eerste moet het verwachte pad duidelijk zijn. Vervolgens beslist u of NAT noodzakelijk is.
Typische scenario’s:
- Site-to-site VPN met unieke netwerken: Meestal geen NAT, maar schone firewallregels en routing.
- Site-to-site VPN met overlappende netwerken: Gerichte SNAT- of DNAT-regel met gedocumenteerd back-upnetwerk.
- Op route gebaseerde VPN met XFRM en SD-WAN: Controleer de XFRM-interface, route, SD-WAN-route en NAT samen.
- Op beleid gebaseerd IPsec met vertaald verkeer: Controleer de IPsec-route en de SNAT-regel met overeenkomende
Outbound interface. - Remote Access VPN naar interne netwerken: Normaal gesproken geen NAT, tenzij een doelsysteem een specifieke bron verwacht.
Voor overlappende netwerken mag NAT niet worden geïmproviseerd. Beide partijen moeten weten welk echt netwerk achter welk vertaalde netwerk zit. Anders werken individuele tests, maar worden applicaties, DNS, logging of toegangsregels later moeilijk te begrijpen. Als een VPN-tunnel groen is maar er geen nuttig verkeer loopt, is NAT slechts een van meerdere mogelijke oorzaken. Controleer dan parallel de IPsec-status, Route Lookup, firewallregel, SD-WAN-route en Packet Capture. Voor een gestructureerde aanpak passen Sophos Firewall IPsec VPN Troubleshooting, SD-WAN Routing voor Reply Packets en System Traffic en MTU en MSS op Sophos Firewall bij VPN-problemen controleren.
DNAT: Bestemming NAT
DNAT wijzigt het bestemmingsadres. U kunt bijvoorbeeld een interne server publiceren via een openbare IP of een openbare poort. Binnenkomend verkeer naar het adres WAN wordt vertaald naar de interne server.
Typische DNAT-regel:
- Original source:
Anyof gedefinieerde bron-IP-netwerken. - Original destination: WAN-IP of WAN hostobject.
- Original service: externe service, bijvoorbeeld
HTTPSofSynology_5555. - Translated destination (DNAT): interne server.
- Vertaalde service (PAT):
Originalof interne bestemmingspoort. - Translated source (SNAT): meestal
Original. - Inbound interface:
Any- of WAN-interface. - Uitgaande interface: meestal
Anybij DNAT.
Voor openbare diensten moet u niet alleen NAT bouwen, maar ook onmiddellijk de logging, IPS, bronbeperkingen, geo-IP-logica en patchniveau van de doelserver controleren. Meer gedetailleerde stap-voor-stap instructies kunt u vinden in het artikel Publiceer server naar Sophos Firewall via DNAT. Voor HTTP- en HTTPS-toepassingen moet u ook controleren of een Sophos Firewall WAF beter past dan pure DNAT. DNAT is een port forwarding. WAF kan hostnamen, certificaten, paden, webbeschermingsprofielen en optioneel authenticatie bevatten. Voor eenvoudige niet-HTTP-services blijft DNAT vaak correct; voor publiek toegankelijke webapplicaties is WAF vaak een beter startpunt.
PAT: Poortadresvertaling
PAT wijzigt de service of poort. Op de Sophos Firewall is hiervoor het veld Vertaalde service (PAT) verantwoordelijk.
Voorbeeld:
- Externe
TCP 5555naar interneTCP 443. - Externe
TCP 20120naar interneTCP 22. - Externe
TCP 8443naar interneTCP 443.
De externe client maakt verbinding met een openbare poort, maar intern wordt een andere poort aangesproken. Belangrijk: Het protocol moet correct zijn. TCP kan worden vertaald naar TCP, UDP naar UDP. Een vertaling van TCP naar UDP is geen schone port forwarding.
DNAT voorbeeld met firewallregel
Het voorbeeld toont de typische publicatie van een interne dienst. Cruciaal is dat de NAT-regel en de firewallregel overeenkomen.
Praktisch voorbeeld: Synology publiceren via DNAT
In het voorbeeld moet een dienst toegankelijk zijn via een openbare WAN-IP. De dienst Synology_5555 wordt van buitenaf aangesproken. Intern luistert de server naar HTTPS. De regel NAT vertaalt dus het openbare bestemmingsadres naar de interne server en de openbare dienst naar de interne dienst.


DNAT-regel veld voor veld
- Rule name: Geef een duidelijke naam, bijvoorbeeld
DNAT_SYNOLOGY_5555. - Beschrijving: Documenteer waarom de regel bestaat en wie deze heeft gemaakt. Dit zal later enorm helpen.
- Rule position: Specifieke regels moeten boven algemene regels worden geplaatst.
- Original source: Kan worden beperkt in de NAT-regel. In de praktijk is het vaak schoner om de bronrestrictie in de firewallregel te handhaven, zodat dezelfde restrictie niet tweemaal gehandhaafd hoeft te worden.
- Original destination: Het openbare bestemmingsadres vóór NAT. Het is beter om een hostobject te gebruiken voor de WAN-IP dan rechtstreeks de WAN-interface. Een hostobject blijft doorgaans stabieler tijdens interfacewijzigingen of -aanpassingen.
- Original service: De service of poort die van buitenaf bereikbaar is, bijvoorbeeld
Synology_5555. - Translated source (SNAT): Voor klassieke DNAT-regels meestal
Original. Wijzig dit alleen als de interne server de firewall als bron moet zien. Maar dan verlies je de echte klant IP. - Translated destination (DNAT): De interne server of een lijst met servers waarnaar moet worden omgeleid.
- Vertaalde service (PAT): De interne service of poort waarnaar moet worden herschreven, bijvoorbeeld
HTTPS. Als er geen poortwijziging nodig is, blijft de serviceOriginal. - Inbound interface: Interface waar verkeer binnenkomt. Voor DNAT vaak
Anyof WAN.Anyis vaak vereist voor VPN-contexten omdat VPN’s niet als normale interfaces worden behandeld. - Uitgaande interface: Voor DNAT meestal
Any, omdat de firewall beslist over de routering en de doelzone.
Maak een firewallregel voor de DNAT-regel
Een DNAT-regel is niet voldoende. Bovendien is een firewallregel vereist die verkeer toestaat.
Voor DNAT is het belangrijk: De firewallregel verwijst naar het verkeer in de DNAT-context. Dit lijkt in het begin ongebruikelijk, vooral bij doelzones en doelnetwerken.
- Source zones: Meestal
WANals de toegang via internet komt. - Source networks and devices: Indien mogelijk, niet
Anyals dit vermeden kan worden. Het is beter om landen, individuele IP’s, netwerken, FQDN-hosts of groepen te gebruiken. - Destination zones: De zone van het interne doel, bijvoorbeeld
SERVERofDMZ, niet simpelwegWAN. - Destination networks: Het openbare bestemmingsadres of het WAN-hostobject van
Original destination. - Services: De externe service van
Original service, d.w.z. de poort waartoe clients van buitenaf toegang hebben. - Log firewall traffic: Inschakelen voor gepubliceerde services. Zonder loggen is de Log Viewer niet behulpzaam bij deze regel.
Als mondiale gebruikers toegang nodig hebben en
Source networks and devicesniet op betekenisvolle wijze kan worden beperkt, moet u de regel nog steeds aanscherpen: open alleen de vereiste poorten, activeer IPS, schakel logboekregistratie in, houd het doelsysteem up-to-date en gebruik indien mogelijk MFA, VPN of ZTNA.
💡 Publiek toegankelijke diensten worden vaak heel snel gescand door bots. Sophos Firewall Threat Feeds helpen bekende kwaadaardige IP’s, domeinen of URL’s vroegtijdig te blokkeren. Dit vervangt geen schone regel, maar vermindert onnodig botverkeer aanzienlijk.
Loopback-regel: Intern toegang via de openbare DNS-naam
Een Loopback-regel is vereist als interne clients een interne server moeten bereiken via de openbare IP of de openbare FQDN.
Voorbeeld:
- Extern verwijst
service.example.comnaar het publiek WAN-IP. - Intern gebruiken klanten dezelfde naam
service.example.com. - Zonder loopback gaat het verkeer van de LAN naar de openbare IP van de firewall en moet terug naar de interne server.
In eenvoudige omgevingen is gesplitste DNS vaak schoner: intern verwijst service.example.com rechtstreeks naar de interne server IP. Dan is Hairpin-NAT niet nodig. Als gesplitste DNS niet mogelijk is, kan een loopback-regel zinvol zijn.
Met Server Access Assistant kan de Sophos Firewall automatisch loopback-regels creëren. Dit werkt echter alleen onder bepaalde omstandigheden, bijvoorbeeld als de interface WAN wordt gebruikt als openbare IP en externe bronnen in het algemeen op de juiste manier zijn gedefinieerd. Bij handmatige regels moet loopback bewust worden gepland en vervolgens worden getest.
Reflexieve regel: spiegel uitgaand verkeer van de server
Een Reflexieve regel is een automatisch gegenereerde SNAT-regel voor de DNAT-regel. Deze regel kan handig zijn als u wilt dat de gepubliceerde server wordt weergegeven, beginnend met een specifieke openbare IP. Belangrijk: Voor normale reacties op een inkomende DNAT-verbinding is doorgaans geen afzonderlijke reflexieve regel vereist. Stateful firewalling zorgt ervoor dat de antwoordpakketten tot de bestaande verbinding behoren.
Je moet reflexieve regels alleen activeren als je het doel ervan begrijpt. In omgevingen met meerdere WAN IP’s, meerdere DNAT-regels of meerdere servers kan een extra SNAT-regel anders resulteren in gedrag dat moeilijk te begrijpen is.
⚠️ Automatisch gegenereerde Loopback- of Reflexive Rules blijven zelfstandige regels. Als de oorspronkelijke DNAT-regel later wordt gewijzigd of verwijderd, worden deze afgeleide regels niet automatisch logisch bijgewerkt. Na elke wijziging aan de oorspronkelijke regel moeten de bijbehorende Loopback- en Reflexive Rules handmatig worden gecontroleerd.
Geavanceerde NAT-functies
Deze opties zijn niet in elke omgeving nodig. Ze worden belangrijk wanneer interne clients dezelfde openbare naam gebruiken, er meerdere doelservers bij betrokken zijn of NAT-regels worden gemaakt op basis van firewallregels.
Servertoegangsassistent of handmatige NAT-regel?
Server Access Assistant kan automatisch DNAT-, loopback-, reflexieve en firewallregels creëren. Dit is handig als u snel een dienst wilt publiceren.
Voor productieve omgevingen zijn handmatige regels vaak gemakkelijker te begrijpen:
- Je kunt precies zien welke regel wat doet.
- Bronbeperkingen worden bewust gehandhaafd in de firewallregels.
- De NAT-regel blijft slanker.
- Regelpositie en logboekregistratie zijn netjes ingesteld.
- Latere veranderingen zijn minder verrassend.
De Assistent is nuttig, maar vervangt niet het begrijpen van de individuele regels.
Gekoppelde NAT-regels
Er wordt een Gekoppelde NAT-regel gemaakt op basis van een firewallregel. Het is een bronregel NAT in de regeltabel NAT.
Dat klinkt praktisch, maar het heeft grenzen:
- De meeste overeenkomende criteria zijn afkomstig van de firewallregel.
- In de NAT-regel kunt u alleen bepaalde NAT-velden aanpassen.
- Een algemenere NAT-regel hierboven kan nog steeds als eerste overeenkomen.
- Veel gekoppelde NAT-regels maken de NAT-tabel al snel verwarrend.
Voor nieuwe, eenvoudige configuraties is een onafhankelijke NAT-regel in Rules and policies > NAT rules doorgaans begrijpelijker. Gekoppelde NAT-regels zijn vooral handig in migratiescenario’s of zeer gerichte speciale gevallen.
Taakverdeling en Health Check bij DNAT
DNAT kan meer dan alleen port forwarding doen. Als er meerdere interne servers zijn opgeslagen als Translated destination, kan de firewall verkeer distribueren.
Mogelijke methoden:
- Round robin: eenvoudige distributie zonder sessiepersistentie.
- Eerste levend: primaire server met failover.
- Willekeurig: willekeurige verdeling.
- Sticky IP: Dezelfde bron-bestemmingscombinatie blijft op dezelfde server.
- Eén-op-één: vaste toewijzing tussen originele en vertaalde bestemming. Als u wilt dat de firewall detecteert of er een doelserver beschikbaar is, moet Health check zijn ingeschakeld. Zonder Health Check beschouwt de firewall de servers als beschikbaar, zelfs als ze niet reageren.
NAT-bestelling
Sophos verwerkt de NAT-regels van boven naar beneden. De eerste matchingregel wint. Daarna worden verdere NAT-regels niet langer gecontroleerd.
Aanbeveling:
- Specifieke DNAT is van toepassing
- Specifieke SNAT-regels boven de algemene MASQ-regels
- Positioneer de standaard SNAT-regel bewust
- Controleer regelmatig de gekoppelde NAT-regels
- Verwijder of deactiveer oude migratieregels als deze niet langer nodig zijn
Een beproefde volgorde in veel omgevingen ziet er als volgt uit:
- Zwart gat DNAT of blokkeerregels voor bekende ongewenste bronnen, als dergelijke regels worden gebruikt.
- Zeer specifieke DNAT-regels voor gepubliceerde services.
- Speciale SNAT-regels voor individuele servers, partnernetwerken of speciale gevallen voor VPN.
- Loopback- of reflexieve regels wanneer ze bewust nodig zijn.
- Algemene SNAT- of MASQ-regels voor normale internettoegang.
Dit is geen harde wet, maar wel een goed toetsingskader. De specifieke teststroom is altijd cruciaal. Als een brede MASQ-regel of een oude gekoppelde NAT-regel boven een specifieke regel wordt geplaatst, lijkt de nieuwe regel correct, maar wordt deze nooit bereikt. Wanneer u wijzigingen aanbrengt, moet u niet alleen de regel zelf controleren, maar ook de regels er direct boven en eronder.
Voor openbare diensten kan een zwart gat DNAT-regel vóór de productieve DNAT-regel nuttig zijn als bepaalde slechte IP-lijsten of landen vroegtijdig moeten worden onderschept. Het proces wordt beschreven in Sophos Firewall: Landen en kwaadaardige IP’s blokkeren.
NAT veilig veranderen en controleren
NAT-wijzigingen veranderen de pakketstroom. Daarom moet u het als een productieve verandering behandelen: voorbereiden, testen, loggen en indien nodig netjes terugdraaien.
Implementeer NAT-wijzigingen veilig
NAT-wijzigingen hebben vaak onmiddellijk invloed op productief verkeer. Dit is met name van cruciaal belang voor gepubliceerde servers, speciale gevallen VPN, meerdere WAN-IP-adressen of firewallregels die door externe partners worden gebruikt. Daarom moet NAT niet worden behandeld als een pure objectwijziging, maar eerder als een kleine wijziging met een test- en terugvalpad.
Voordat u een productieve verandering doorvoert, moet u kort het volgende noteren:
- Vorige NAT Rule ID en regelnaam: In de Log Viewer kunt u vervolgens controleren of de nieuwe regel echt van toepassing is.
- Verwachte teststroom: Bron, Bestemming, Service en Richting moeten duidelijk zijn voordat u opslaat.
- Afhankelijke firewallregel: NAT en firewallregel moeten overeenkomen, maar afzonderlijk worden gecontroleerd.
- Fallback-pad: Als er problemen zijn, kan de nieuwe regel worden gedeactiveerd en kan de oude regel opnieuw worden geactiveerd.
- Testvenster: Externe services, VPN externe sites of partnertoegang mogen niet onopgemerkt worden onderbroken.
Wanneer u grote wijzigingen aanbrengt, raden wij u aan eerst de bestaande NAT-regels te dupliceren of een nieuwe specifieke regel erboven te maken, in plaats van de enige werkende regel direct te converteren. De oude regel blijft in eerste instantie gedeactiveerd of blijft hieronder staan als referentie. Na een succesvolle test kan deze worden verwijderd of duidelijk gedocumenteerd.
Ook de regelpositie is belangrijk: een nieuwe specifieke SNAT- of DNAT-regel heeft geen zin als een meer algemene regel hierboven al overeenkomt met hetzelfde verkeer. Daarom omvat de wijziging altijd een logboekviewertest met de verwachte waarden Firewall Rule ID en NAT Rule ID. Bij extern toegankelijke diensten dient de test niet alleen vanaf uw eigen LAN te worden uitgevoerd. Een interne test voor de openbare FQDN controleert vaak loopback- of gesplitste DNS, maar geen echte toegang vanaf internet. DNAT acceptatie vereist minimaal één externe test, bijvoorbeeld via mobiele communicatie, een externe locatie of een gecontroleerde poorttest.
Controleer NAT en de firewallregel samen
Een veel voorkomende denkfout is: “De NAT-regel is correct, dus deze zou moeten werken.” Dat is maar de helft waar.
Om het verkeer te laten werken, hebt u het volgende nodig:
- Routering naar de firewall
- toepasselijke regel NAT als vertaling nodig is
- passende firewallregel
- juiste retourroute
- passende beveiligingsprofielen
- geen upstream-blokkering, bijvoorbeeld providerrouter, cloudbeveiligingsgroep of doelfirewall Voor DNAT geldt ook het volgende: Firewallregels voor DNAT-verkeer gebruiken de doelzone na NAT, maar het openbare doeladres vóór NAT als doelnetwerk. Het is precies dit punt dat cruciaal is bij veel probleemoplossing.
Lees Firewall Rule ID en NAT Rule ID correct
In het geval van NAT-fouten moet u niet alleen controleren of er een logvermelding bestaat. Cruciaal is of de loginvoer overeenkomt met de verwachte firewallregel en de verwachte NAT-regel. Om deze reden zijn Firewall Rule ID en NAT Rule ID nuttiger dan alleen de regelnaam, omdat namen in schermafbeeldingen kunnen worden gewijzigd, op dezelfde manier kunnen worden gekozen of kunnen worden afgekapt.
Een korte interpretatie helpt:
- Verwachte Firewall Rule ID en verwachte NAT Rule ID zichtbaar: De regelmatching is in principe correct. Controleer vervolgens het retourpad, het doelsysteem, het beveiligingsprofiel en de applicatie.
- Verwachte Firewall Rule ID zichtbaar, maar onjuist NAT Rule ID: De firewallregel komt overeen, maar de NAT-volgorde of de NAT-criteria komen niet overeen. Controleer de NAT-regelpositie,
Original-velden en meer algemene NAT-regels. - Andere Firewall Rule ID zichtbaar: Een andere firewallregel wint. Controleer de volgorde van de firewallregels, zones, bron, bestemming en service.
- Geen NAT Rule ID zichtbaar, hoewel NAT wordt verwacht: Er is geen NAT-regel toegepast of het verkeerde logtype of de verkeerde stroom wordt bekeken. Controleer de NAT-criteria, richting en echte teststroom.
- Geen loginvoer zichtbaar: Logboekregistratie ontbreekt of verkeer bereikt de firewall niet. Controleer regelregistratie, providerrouter, VLAN, Gateway en Packet Capture. Vooral bij DNAT is een enkele succesvolle of mislukte test zonder ID-vergelijking niet voldoende. Noteer welke ID’s u verwacht, voer de test precies één keer uit en vergelijk vervolgens Log Viewer en Packet Capture. Als de ID’s niet aan de verwachting voldoen, wordt eerst de matching en volgorde gecorrigeerd, en niet de doelserver.
Veel voorkomende NAT-fouten
Bij het omgaan met NAT-problemen is het handig om de regels niet onmiddellijk opnieuw op te bouwen. Eerst moet men het waargenomen defect classificeren.
- Geen loggegevens in Log Viewer: Verkeer bereikt de firewall niet, logboekregistratie ontbreekt of het filter is onjuist. Controleer providerrouter, cloudbeveiligingsgroep, client Gateway, logboekregistratie van firewallregels en filters.
- Logboekinvoer zonder verwachte NAT Rule ID: De NAT-regel komt niet overeen of een regel erboven wint.
Original source,Original destination, controleer service en NAT bestelling. - DNAT-regel komt overeen, verbinding werkt nog steeds niet: Firewallregel, bestemmingsserver, retourroute of lokale serverfirewall geblokkeerd. Vergelijk Firewall Rule ID, Packet Capture en serverlogboeken.
- Interne toegang tot openbare FQDN werkt niet: Gesplitste DNS of loopback NAT ontbreekt. Controleer de interne DNS-resolutie en bepaal of gesplitste DNS of loopback schoner is.
- Externe client ziet onjuiste bron-IP: SNAT of reflexieve regel verandert de bron onverwacht. Controleer
Translated source (SNAT)en automatisch gegenereerde regels. - VPN-verkeer gebruikt onverwachte bron IP: SNAT, XFRM, SD-WAN-route of IPsec-route komen niet overeen. Controleer de routeopzoeking, SD-WAN-route, IPsec-route en NAT-regelpositie.
- Openbare poort wijst naar verkeerde interne service: PAT of serviceobject is verkeerd ingesteld. Vergelijk
Original serviceenTranslated service (PAT). Dit overzicht vervangt de pakketstroomanalyse niet, maar bespaart tijd: hij scheidt problemen vóór de firewall, in de NAT-logica, in de firewallregel en op het doelsysteem.
Acceptatietest na wijzigingen in NAT
Na een NAT-wijziging moet u niet alleen controleren of een enkele ping of een website één keer werkt. De test moet overeenkomen met het type vertaling.
Voor SNAT of MASQ:
- Definieer de testklant en doelservice.
- Controleer de firewallregel met Log firewall traffic.
- Controleer in Log Viewer welke Firewall Rule ID en NAT Rule ID actief zijn.
- Controleer op het doelsysteem of de externe testservice welke bron IP zichtbaar is.
- Test het retourpad en sessiegedrag op verschillende WAN-koppelingen.
Voor DNAT of PAT:
- Voer de test uit buiten uw eigen netwerk, niet alleen vanaf de LAN.
- Vergelijk openbaar doel IP, externe poort en interne doelserver.
- Controleer Log Viewer Firewall Rule ID en NAT Rule ID.
- Gebruik Packet Capture om te controleren of pakketten aankomen en doorgaan naar de interne server.
- Controleer op de doelserver of de lokale firewall, service en retourroute correct zijn.
Voor VPN-NAT:
- Controleer de tunnelstatus en beveiligingskoppelingen.
- Definieer een concrete testflow met bron, bestemming en dienst.
- Controleer de positie van de NAT-regel en zoek de route.
- Gebruik Packet Capture aan beide kanten als de externe locatie toegang toestaat.
- Voeg logbestanden van de applicatie of het doelsysteem toe, zodat niet alleen de firewallkant wordt geëvalueerd.
Vooral op afgelegen locaties mag per wijziging slechts één testgeval worden gewijzigd. Als de firewallregel, NAT, route, SD-WAN en doelsysteem tegelijkertijd worden aangepast, kan een succesvolle test later nauwelijks worden verklaard.
Problemen oplossen
Deze volgorde helpt bij NAT-problemen:
- Open Logviewer en filter op Bron IP, Bestemming IP en Service.
- Controleer welke Firewall Rule ID en NAT Rule ID worden weergegeven.
- Controleer de positie van de NAT-regel.
- Controleer de positie van de firewallregel.
- Gebruik Diagnostics > Pakket vastleggen om te controleren of pakketten aankomen en doorgaan.
- Voor een diepere analyse, controleer
nat_rule.log,firewall_rule.logenfwlog.log. - Voor VPN- of XFRM-context, controleer ook
charon.log,strongswan.logenxfrmi.log.
Als de NAT-regel nog steeds niet werkt, helpen Firewallregel werkt niet: controleer volgorde, matching en logboeken en Gebruik de tool Packet Capture in WebAdmin om de regel verder af te bakenen. Welke servicenamen en logbestanden relevant zijn, staat in Sophos Firewall Probleemoplossing: Services en logboeken. Voor ondersteuningsgevallen kunt u de logboeken exporteren met Sophos Firewall Logboeken opslaan voor ondersteuning en analyse.
NAT-controlelijst voor regels
- NAT-regel heeft een unieke naam en beschrijving.
- Doel, verantwoordelijke persoon en laatste beoordeling zijn gedocumenteerd.
- De velden
OriginalenTranslatedzijn getest aan de hand van een echte teststroom. - De NAT-regel staat boven de meer algemene NAT-regels.
- Er zijn passende firewallregels ingesteld en logboekregistratie is actief.
- Verwachte Firewall Rule ID en NAT Rule ID zijn gecontroleerd in Log Viewer.
- Voor DNAT wordt de doelzone correct ingesteld na NAT en het doelnetwerk vóór NAT.
- DNAT is extern getest, niet alleen de interne LAN.
- Voor openbare diensten zijn bronbeperkingen, IPS, WAF-alternatief en patchniveau gecontroleerd.
- Voor VPN-NAT zijn routing, IPsec-route, SD-WAN en overlappende netwerken gedocumenteerd.
- Loopback of split DNS is een bewuste keuze.
- Reflexieve regels zijn alleen actief als het uitgaande serververkeer echt gespiegeld moet worden.
- Oude of tijdelijke NAT-regels zijn uitgeschakeld of verwijderd.