NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT
NAT w Sophos Firewall szybko staje się mylący: nazwy są podobne, formularz reguły używa pól Original i Translated, a Log Viewer może pokazywać różne adresy w zależności od miejsca analizy.
Ten artykuł wyjaśnia najważniejsze typy NAT, pokazuje praktyczne przykłady i opisuje przykład DNAT z pasującą Firewall Rule.
NAT tłumaczy, ale nie zezwala
Network Address Translation zmienia adresy lub porty pakietu podczas przechodzenia przez Sophos Firewall. NAT sam nie decyduje, czy ruch jest dozwolony.
⚠️ NAT rule nie zezwala na ruch. Tłumaczy tylko adresy lub porty. Ruch przez firewall zawsze wymaga również pasującej Firewall Rule.
Typowe przypadki:
- Klienci wewnętrzni wychodzą do Internetu przez publiczny WAN IP.
- Serwer wewnętrzny jest publikowany przez publiczny IP.
- Publiczny port jest tłumaczony na inny port wewnętrzny.
- Nakładające się sieci są tłumaczone dla VPN.
- Klienci wewnętrzni używają publicznej nazwy DNS serwera wewnętrznego.
Najważniejsze typy NAT
| Typ NAT | Co jest tłumaczone? | Typowe użycie |
|---|---|---|
| SNAT | Source IP | Klienci lub serwery wewnętrzne wychodzą z określonym publicznym IP |
| MASQ | Source IP na IP interfejsu wyjściowego | Standard LAN do WAN |
| DNAT | Destination IP | Serwer wewnętrzny jest dostępny przez publiczny IP |
| PAT | Port lub usługa | Port zewnętrzny jest tłumaczony na inny port wewnętrzny |
| Loopback NAT | Dostęp wewnętrzny przez publiczny IP lub FQDN | Klienci wewnętrzni używają tej samej nazwy DNS co użytkownicy zewnętrzni |
| Reflexive Rule | Lustrzana Source NAT rule | Opublikowany serwer ma wychodzić z pasującą publiczną tożsamością |
Original i Translated
Original opisuje ruch przed NAT, a Translated po translacji.
| Pole | Znaczenie |
|---|---|
| Original source | Adres źródłowy przed NAT |
| Translated source (SNAT) | Adres źródłowy po NAT |
| Original destination | Adres docelowy przed NAT |
| Translated destination (DNAT) | Adres docelowy po NAT |
| Original service | Usługa lub port przed NAT |
| Translated service (PAT) | Usługa lub port po NAT |
Przykłady praktyczne
| Sytuacja | Pasujący NAT | Przykład |
|---|---|---|
| Klienci LAN potrzebują Internetu | MASQ lub SNAT | 10.10.10.80 wychodzi jako WAN IP firewall |
| Serwer web ma być dostępny z Internetu | DNAT | Publiczny WAN IP wskazuje na 172.16.16.10 |
| Port zewnętrzny różni się od wewnętrznego | PAT | Zewnętrzny TCP 5555, wewnętrzny TCP 443 |
| Użytkownicy wewnętrzni używają tego samego FQDN | Loopback NAT | service.example.com działa wewnątrz i z zewnątrz |
| Serwer publikowany ma wychodzić z konkretnym publicznym IP | SNAT lub Reflexive Rule | Serwer pocztowy wysyła z określonym publicznym IP |
| Sieci VPN się nakładają | SNAT lub DNAT | Lokalizacja A widzi lokalizację B przez sieć tłumaczoną |
SNAT, MASQ, DNAT i PAT
SNAT zmienia adres źródłowy. Typowy przypadek to ruch wychodzący z LAN do Internetu. Wewnętrznie klient zachowuje prywatny IP, ale na zewnątrz widać WAN IP firewall lub zdefiniowany publiczny IP.
MASQ jest wygodną odmianą SNAT i zwykle tłumaczy Source IP na IP interfejsu wyjściowego. Sophos Firewall ma domyślną Default SNAT rule z MASQ; jeśli nie jest potrzebna, lepiej ją wyłączyć niż usuwać.
DNAT zmienia adres docelowy i służy do publikowania serwera wewnętrznego przez publiczny IP lub port. PAT zmienia usługę lub port przez Translated service (PAT).
| Zewnętrznie | Wewnętrznie |
|---|---|
TCP 5555 | TCP 443 |
TCP 20120 | TCP 22 |
TCP 8443 | TCP 443 |
Protokół musi pozostać zgodny: TCP do TCP, UDP do UDP.
Przykład: publikacja Synology przez DNAT
W przykładzie z zewnątrz używany jest Synology_5555, a wewnętrznie serwer nasłuchuje na HTTPS. NAT rule tłumaczy publiczny adres docelowy na serwer wewnętrzny i publiczną usługę na usługę wewnętrzną.
Interfejsy administracyjne, takie jak NAS, RDP, SSH lub WebAdmin, należy wystawiać bezpośrednio tylko wtedy, gdy jest to naprawdę konieczne. Często lepszy jest VPN lub ZTNA.
DNAT rule pole po polu
| Pole | Zalecenie |
|---|---|
| Rule name | Jasna nazwa, np. DNAT_SYNOLOGY_5555. |
| Description | Opisać, dlaczego reguła istnieje i kto ją utworzył. |
| Rule position | Reguły szczegółowe nad ogólnymi. |
| Original source | Można ograniczyć w NAT, ale zwykle czyściej robić to w Firewall Rule. |
| Original destination | Publiczny adres przed NAT. Lepiej użyć host object dla WAN IP niż bezpośrednio interfejsu WAN. |
| Original service | Publiczna usługa lub port, np. Synology_5555. |
| Translated source (SNAT) | Zwykle Original; zmiana ukrywa prawdziwy client IP. |
| Translated destination (DNAT) | Serwer wewnętrzny lub lista serwerów. |
| Translated service (PAT) | Usługa lub port wewnętrzny, np. HTTPS; bez zmiany portu Original. |
| Inbound interface | Często Any lub WAN. |
| Outbound interface | Zwykle Any. |
Pasująca Firewall Rule
DNAT rule nie wystarcza. Potrzebna jest Firewall Rule zezwalająca na ruch.
| Pole | Zalecenie |
|---|---|
| Source zones | Zwykle WAN. |
| Source networks and devices | Unikać Any, jeśli to możliwe; używać krajów, IP, sieci, FQDN hosts lub grup. |
| Destination zones | Strefa celu wewnętrznego, np. SERVER lub DMZ. |
| Destination networks | Publiczny adres lub WAN host object z Original destination. |
| Services | Usługa zewnętrzna z Original service. |
| Log firewall traffic | Włączyć dla usług publikowanych. |
💡 Usługi publiczne szybko trafiają pod skanowanie botów. Sophos Firewall Threat Feeds pomaga wcześnie blokować znane złośliwe IP, domeny lub URL.
Loopback, Reflexive Rules i kolejność
Loopback Rule jest potrzebna, gdy klienci wewnętrzni mają osiągać serwer wewnętrzny przez publiczny IP lub publiczny FQDN. Często prostszy jest Split DNS.
Reflexive Rule to automatycznie tworzona SNAT rule dla DNAT rule. Może być przydatna, gdy opublikowany serwer ma wychodzić z określonym publicznym IP. Dla zwykłych odpowiedzi na połączenie DNAT zwykle nie jest potrzebna.
Sophos przetwarza NAT rules od góry do dołu. Wygrywa pierwsze dopasowanie. Szczegółowe DNAT i SNAT powinny być nad ogólnymi regułami MASQ.
Load balancing i Health Check
Jeśli wiele serwerów wewnętrznych jest ustawionych jako Translated destination, firewall może rozdzielać ruch.
| Metoda | Użycie |
|---|---|
| Round robin | Prosty podział |
| First alive | Serwer główny z failover |
| Random | Losowy podział |
| Sticky IP | Ta sama kombinacja source-destination na tym samym serwerze |
| One-to-one | Stałe mapowanie |
Do sprawdzania dostępności serwera trzeba włączyć Health check.
Troubleshooting
- Otworzyć Log viewer i filtrować po Source IP, Destination IP i usłudze.
- Sprawdzić Firewall Rule ID i NAT Rule ID.
- Sprawdzić pozycję NAT rule.
- Sprawdzić pozycję Firewall Rule.
- Użyć Diagnostics > Packet capture.
- Sprawdzić
nat_rule.log,firewall_rule.logifwlog.log. - Przy VPN lub XFRM sprawdzić też
charon.log,strongswan.logixfrmi.log.
Jeśli NAT rule nadal nie pasuje, pomagają Firewall rule nie pasuje: sprawdź kolejność, matching i logi oraz Packet Capture w WebAdmin. Nazwy usług i logi opisuje Sophos Firewall Troubleshooting: Services i logs. Logi dla supportu można wyeksportować przez Zapisz logi Sophos Firewall dla supportu i analizy.