NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT
NAT is een Sophos Firewall onderwerp dat in de praktijk snel verwarrend wordt. De termen lijken op elkaar, de regel-editor gebruikt Original en Translated, en Log Viewer toont afhankelijk van de plek soms andere adressen.
Dit artikel legt de belangrijkste NAT-types uit, toont praktische voorbeelden en beschrijft een DNAT-voorbeeld met bijbehorende Firewall Rule.
NAT vertaalt, maar staat niet toe
Network Address Translation wijzigt adressen of poorten van een pakket terwijl het door Sophos Firewall gaat. NAT beslist niet of verkeer is toegestaan.
⚠️ Een NAT rule staat geen verkeer toe. Ze vertaalt alleen adressen of poorten. Verkeer door de firewall heeft altijd ook een passende Firewall Rule nodig.
Typische scenario’s:
- Interne clients gaan via de publieke WAN-IP naar internet.
- Een interne server wordt via een publieke IP gepubliceerd.
- Een publieke poort wordt naar een andere interne poort vertaald.
- Overlappende netwerken worden voor VPN-verbindingen vertaald.
- Interne clients bereiken een interne server via de publieke DNS name.
Belangrijkste NAT-types
| NAT-type | Wat wordt vertaald? | Typisch gebruik |
|---|---|---|
| SNAT | Source IP | Interne clients of servers gaan naar buiten met een bepaalde publieke IP |
| MASQ | Source IP naar de IP van de uitgaande interface | Standaard LAN naar WAN |
| DNAT | Destination IP | Interne server bereikbaar maken via publieke IP |
| PAT | Poort of service | Externe poort naar andere interne poort vertalen |
| Loopback NAT | Intern toegang via publieke IP of publieke FQDN | Interne clients gebruiken dezelfde DNS name als externe gebruikers |
| Reflexive Rule | Gespiegelde Source NAT rule | Gepubliceerde server moet outbound een passende publieke identiteit gebruiken |
NAT beantwoordt dus niet “mag dit verkeer?”, maar “hoe moeten adres of poort eruitzien tijdens verwerking?”.
Original en Translated lezen
| Veld | Betekenis |
|---|---|
| Original source | Source address vóór NAT |
| Translated source (SNAT) | Source address na NAT |
| Original destination | Destination address vóór NAT |
| Translated destination (DNAT) | Destination address na NAT |
| Original service | Service of poort vóór NAT |
| Translated service (PAT) | Service of poort na NAT |
Voor troubleshooting noteert men eerst hoe het pakket vóór NAT eruitziet en daarna hoe de firewall het moet vertalen.
Praktische voorbeelden
| Situatie | Passend NAT-type | Voorbeeld |
|---|---|---|
| LAN-clients hebben internet nodig | MASQ of SNAT | 10.10.10.80 verschijnt extern als WAN-IP |
| Interne webserver moet extern bereikbaar zijn | DNAT | Publieke WAN-IP wijst naar 172.16.16.10 |
| Externe en interne poort verschillen | PAT | Extern TCP 5555, intern TCP 443 |
| Interne gebruikers gebruiken dezelfde FQDN als extern | Loopback NAT | service.example.com werkt intern en extern |
| Gepubliceerde server moet met vaste publieke IP naar buiten | SNAT of Reflexive Rule | Mailserver verzendt met gedefinieerde publieke IP |
| VPN-netwerken overlappen | SNAT of DNAT | Site A ziet site B via vertaald netwerk |
SNAT, MASQ, DNAT en PAT
SNAT wijzigt het bronadres. Het klassieke voorbeeld is outbound internetverkeer vanuit LAN. Clients houden intern hun private IP, maar extern verschijnt de WAN-IP van de firewall of een gedefinieerde publieke IP.
MASQ is een eenvoudige SNAT-variant. Meestal vertaalt MASQ de Source IP naar de IP van de uitgaande interface. Sophos Firewall heeft standaard een Default SNAT rule met MASQ; uitschakelen is vaak netter dan verwijderen.
DNAT wijzigt het doeladres en wordt gebruikt om een interne server via een publieke IP of publieke poort bereikbaar te maken. PAT wijzigt daarbij de service of poort via Translated service (PAT).
| Extern | Intern |
|---|---|
TCP 5555 | TCP 443 |
TCP 20120 | TCP 22 |
TCP 8443 | TCP 443 |
TCP moet naar TCP worden vertaald en UDP naar UDP.
Voorbeeld: Synology publiceren met DNAT
In dit voorbeeld is Synology_5555 extern bereikbaar. Intern luistert de server op HTTPS. De NAT rule vertaalt dus het publieke doeladres naar de interne server en de publieke service naar de interne service.
Managementinterfaces zoals NAS, RDP, SSH of WebAdmin moeten alleen direct gepubliceerd worden als dat echt nodig is. Vaak zijn VPN of ZTNA beter.
DNAT rule veld voor veld
| Veld | Aanbeveling |
|---|---|
| Rule name | Duidelijke naam, bijvoorbeeld DNAT_SYNOLOGY_5555. |
| Description | Documenteer waarom de regel bestaat en wie hem heeft gemaakt. |
| Rule position | Specifieke regels boven algemene regels. |
| Original source | Kan in NAT worden beperkt, maar bronbeperking is vaak beter in de Firewall Rule te beheren. |
| Original destination | Publiek adres vóór NAT. Gebruik liever een host object voor de WAN-IP dan de WAN-interface zelf. |
| Original service | Externe service of poort, bijvoorbeeld Synology_5555. |
| Translated source (SNAT) | Meestal Original; wijzigen verbergt vaak de echte client-IP. |
| Translated destination (DNAT) | Interne server of serverlijst. |
| Translated service (PAT) | Interne service of poort, bijvoorbeeld HTTPS; zonder poortwijziging Original. |
| Inbound interface | Vaak Any of WAN. |
| Outbound interface | Meestal Any. |
Bijpassende Firewall Rule
Een DNAT rule is niet genoeg. Een Firewall Rule moet het verkeer toestaan.
| Veld | Aanbeveling |
|---|---|
| Source zones | Meestal WAN. |
| Source networks and devices | Vermijd Any waar mogelijk; gebruik landen, IPs, netwerken, FQDN hosts of groepen. |
| Destination zones | Zone van het interne doel, bijvoorbeeld SERVER of DMZ. |
| Destination networks | Publieke IP of WAN host object uit Original destination. |
| Services | Externe service uit Original service. |
| Log firewall traffic | Inschakelen voor gepubliceerde diensten. |
💡 Publiek bereikbare diensten worden snel door bots gescand. Sophos Firewall Threat Feeds helpt bekende kwaadaardige IPs, domeinen of URLs vroeg te blokkeren.
Loopback, Reflexive Rules en volgorde
Een Loopback Rule is nodig wanneer interne clients een interne server via publieke IP of publieke FQDN moeten bereiken. Split DNS is vaak eenvoudiger en schoner.
Een Reflexive Rule is een automatisch aangemaakte SNAT rule voor een DNAT rule. Ze kan nuttig zijn wanneer een gepubliceerde server outbound met een specifieke publieke IP moet verschijnen. Voor normale antwoorden op een bestaande DNAT-verbinding is ze meestal niet nodig.
Sophos verwerkt NAT rules van boven naar beneden. De eerste match wint. Specifieke DNAT- en SNAT-regels horen boven algemene MASQ-regels.
Load balancing en Health Check
Met meerdere Translated destination servers kan de firewall verkeer verdelen.
| Methode | Gebruik |
|---|---|
| Round robin | Eenvoudige verdeling |
| First alive | Primaire server met failover |
| Random | Willekeurige verdeling |
| Sticky IP | Zelfde source-destination combinatie blijft op dezelfde server |
| One-to-one | Vaste mapping |
Voor beschikbaarheidscontrole moet Health check worden geactiveerd.
Troubleshooting
- Log viewer openen en filteren op Source IP, Destination IP en service.
- Firewall Rule ID en NAT Rule ID controleren.
- NAT rule positie controleren.
- Firewall Rule positie controleren.
- Diagnostics > Packet capture gebruiken.
nat_rule.log,firewall_rule.logenfwlog.logcontroleren.- Bij VPN of XFRM ook
charon.log,strongswan.logenxfrmi.logcontroleren.
Als de NAT rule nog steeds niet matcht, helpen Firewall rule matcht niet: volgorde, matching en logs controleren en Packet Capture in WebAdmin gebruiken. Services en logbestanden staan in Sophos Firewall Troubleshooting: Services en logs. Logs exporteren kan met Sophos Firewall logs bewaren voor support en analyse.