Compreender NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT
NAT é um dos temas da Sophos Firewall que rapidamente se torna confuso na prática. Os termos são semelhantes, o editor de regras usa Original e Translated, e o Log Viewer pode mostrar endereços diferentes consoante o ponto de análise.
Este artigo explica os principais tipos de NAT, mostra exemplos práticos e descreve um exemplo DNAT com a Firewall Rule correspondente.
NAT traduz, não autoriza
Network Address Translation altera endereços ou portas de um pacote enquanto passa pela Sophos Firewall. NAT sozinho não decide se o tráfego é permitido.
⚠️ Uma NAT rule não autoriza tráfego. Apenas traduz endereços ou portas. Para tráfego através da firewall é sempre necessária também uma Firewall Rule correspondente.
Cenários típicos:
- Clientes internos acedem à Internet através do IP WAN público.
- Um servidor interno é publicado através de um IP público.
- Uma porta pública é traduzida para outra porta interna.
- Redes sobrepostas são traduzidas para ligações VPN.
- Clientes internos acedem a um servidor interno através do DNS name público.
Principais tipos de NAT
| Tipo NAT | O que é traduzido? | Utilização típica |
|---|---|---|
| SNAT | Source IP | Clientes ou servidores internos saem com um IP público definido |
| MASQ | Source IP para o IP da interface de saída | Cenário padrão LAN para WAN |
| DNAT | Destination IP | Um servidor interno fica acessível através de um IP público |
| PAT | Porta ou serviço | Uma porta externa é traduzida para outra porta interna |
| Loopback NAT | Acesso interno via IP público ou FQDN público | Clientes internos usam o mesmo DNS name que utilizadores externos |
| Reflexive Rule | Regra Source NAT espelhada | Um servidor publicado deve usar uma identidade pública coerente em saída |
NAT não responde à pergunta “este tráfego é permitido?”, mas sim “como devem ficar o endereço ou a porta durante o processamento?”.
Original e Translated
| Campo | Significado |
|---|---|
| Original source | Endereço origem antes de NAT |
| Translated source (SNAT) | Endereço origem depois de NAT |
| Original destination | Endereço destino antes de NAT |
| Translated destination (DNAT) | Endereço destino depois de NAT |
| Original service | Serviço ou porta antes de NAT |
| Translated service (PAT) | Serviço ou porta depois de NAT |
Para troubleshooting, primeiro deve ficar claro como o pacote chega antes de NAT. Depois define-se como a firewall o deve traduzir.
Exemplos práticos
| Situação | Tipo NAT adequado | Exemplo |
|---|---|---|
| Clientes LAN precisam de Internet | MASQ ou SNAT | 10.10.10.80 sai com o IP WAN da firewall |
| Servidor web interno deve ser acessível externamente | DNAT | IP WAN público aponta para 172.16.16.10 |
| Porta externa diferente da interna | PAT | Externo TCP 5555, interno TCP 443 |
| Utilizadores internos usam o mesmo FQDN que externos | Loopback NAT | service.example.com funciona interna e externamente |
| Servidor publicado deve sair com IP público específico | SNAT ou Reflexive Rule | Servidor de email envia com IP público definido |
| Redes VPN sobrepostas | SNAT ou DNAT | Site A vê site B através de uma rede traduzida |
SNAT, MASQ, DNAT e PAT
SNAT altera o endereço origem. O caso clássico é o acesso à Internet a partir da LAN. Internamente os clientes mantêm os IP privados, mas externamente aparece o IP WAN da firewall ou outro IP público definido.
MASQ é uma variante simples de SNAT. Normalmente traduz o Source IP para o IP da interface de saída. A Sophos Firewall inclui uma Default SNAT rule com MASQ; se não for usada, normalmente é melhor desativá-la do que eliminá-la.
DNAT altera o endereço destino e serve para publicar um servidor interno através de um IP ou porta pública. PAT altera o serviço ou a porta através de Translated service (PAT).
| Externo | Interno |
|---|---|
TCP 5555 | TCP 443 |
TCP 20120 | TCP 22 |
TCP 8443 | TCP 443 |
O protocolo deve manter-se coerente: TCP para TCP, UDP para UDP.
Exemplo: publicar Synology com DNAT
Neste exemplo, o serviço Synology_5555 está acessível a partir do exterior. Internamente, o servidor escuta em HTTPS. A NAT rule traduz o destino público para o servidor interno e o serviço público para o serviço interno.
Interfaces de gestão como NAS, RDP, SSH ou WebAdmin só devem ser expostas diretamente quando for realmente necessário. Muitas vezes VPN ou ZTNA é a melhor opção.
DNAT rule campo a campo
| Campo | Recomendação |
|---|---|
| Rule name | Nome claro, por exemplo DNAT_SYNOLOGY_5555. |
| Description | Documentar porque existe a regra e quem a criou. |
| Rule position | Regras específicas acima de regras gerais. |
| Original source | Pode ser limitado na NAT rule, mas normalmente é mais limpo gerir essa restrição na Firewall Rule. |
| Original destination | Endereço público antes de NAT. Preferir um host object para o WAN IP em vez da interface WAN direta. |
| Original service | Serviço ou porta externa, por exemplo Synology_5555. |
| Translated source (SNAT) | Normalmente Original; alterar apenas se o servidor interno tiver de ver a firewall como source. |
| Translated destination (DNAT) | Servidor interno ou lista de servidores. |
| Translated service (PAT) | Serviço ou porta interna, por exemplo HTTPS; sem alteração de porta, usar Original. |
| Inbound interface | Muitas vezes Any ou WAN. |
| Outbound interface | Normalmente Any. |
Firewall Rule correspondente
Uma DNAT rule não é suficiente. É necessária uma Firewall Rule que permita o tráfego.
| Campo | Recomendação |
|---|---|
| Source zones | Normalmente WAN. |
| Source networks and devices | Evitar Any quando possível; usar países, IPs, redes, FQDN hosts ou grupos. |
| Destination zones | Zona do destino interno, por exemplo SERVER ou DMZ. |
| Destination networks | Endereço público ou WAN host object de Original destination. |
| Services | Serviço externo de Original service. |
| Log firewall traffic | Ativar para serviços publicados. |
💡 Serviços públicos são frequentemente analisados por bots muito rapidamente. Sophos Firewall Threat Feeds ajuda a bloquear cedo IPs, domínios ou URLs maliciosos conhecidos.
Loopback, Reflexive Rules e ordem
Uma Loopback Rule é necessária quando clientes internos devem alcançar um servidor interno através do IP público ou FQDN público. Em ambientes simples, Split DNS costuma ser mais limpo.
Uma Reflexive Rule é uma SNAT rule criada automaticamente para uma DNAT rule. Pode ser útil quando o servidor publicado deve sair com um IP público específico. Para respostas normais de uma ligação DNAT existente, geralmente não é necessária.
Sophos processa NAT rules de cima para baixo. A primeira regra correspondente ganha. DNAT e SNAT específicos devem ficar acima de regras MASQ gerais.
Load balancing e Health Check
Se vários servidores internos forem configurados como Translated destination, a firewall pode distribuir tráfego.
| Método | Utilização |
|---|---|
| Round robin | Distribuição simples |
| First alive | Servidor primário com failover |
| Random | Distribuição aleatória |
| Sticky IP | Mesma combinação source-destination no mesmo servidor |
| One-to-one | Mapeamento fixo |
Para verificar disponibilidade, Health check deve estar ativo.
Troubleshooting
- Abrir Log viewer e filtrar por Source IP, Destination IP e serviço.
- Verificar Firewall Rule ID e NAT Rule ID.
- Verificar a posição da NAT rule.
- Verificar a posição da Firewall Rule.
- Usar Diagnostics > Packet capture.
- Consultar
nat_rule.log,firewall_rule.logefwlog.log. - Em VPN ou XFRM, consultar também
charon.log,strongswan.logexfrmi.log.
Se a NAT rule continuar sem corresponder, Firewall rule não corresponde: verificar ordem, matching e logs e Usar Packet Capture em WebAdmin ajudam a isolar a causa. Serviços e logs estão em Sophos Firewall Troubleshooting: Services e logs. Para suporte, os logs podem ser exportados com Guardar logs da Sophos Firewall para suporte e análise.