Förstå NAT i Sophos Firewall: SNAT, DNAT, MASQ, PAT
NAT är ett Sophos Firewall-ämne som snabbt kan bli förvirrande i praktiken. Begreppen liknar varandra, regelvyn använder Original och Translated, och Log Viewer kan visa olika adresser beroende på var man tittar.
Den här artikeln förklarar de viktigaste NAT-typerna, visar praktiska exempel och går igenom ett DNAT-exempel med motsvarande Firewall Rule.
NAT översätter, men tillåter inte
Network Address Translation ändrar adresser eller portar i ett paket medan det passerar Sophos Firewall. NAT avgör inte ensamt om trafiken är tillåten.
⚠️ En NAT rule tillåter inte trafik. Den översätter bara adresser eller portar. Trafik genom brandväggen behöver alltid även en matchande Firewall Rule.
Typiska scenarier:
- Interna klienter går till internet via den publika WAN-IP:n.
- En intern server publiceras via en publik IP.
- En publik port översätts till en annan intern port.
- Överlappande nät översätts för VPN-förbindelser.
- Interna klienter når en intern server via dess publika DNS name.
Viktigaste NAT-typerna
| NAT-typ | Vad översätts? | Typisk användning |
|---|---|---|
| SNAT | Source IP | Interna klienter eller servrar går ut med en definierad publik IP |
| MASQ | Source IP till IP på utgående interface | Standard LAN till WAN |
| DNAT | Destination IP | Intern server görs nåbar via publik IP |
| PAT | Port eller service | Extern port översätts till annan intern port |
| Loopback NAT | Intern åtkomst via publik IP eller publik FQDN | Interna klienter använder samma DNS name som externa användare |
| Reflexive Rule | Speglad Source NAT rule | Publicerad server ska använda rätt publik identitet utåt |
NAT svarar alltså inte på “är trafiken tillåten?”, utan på “hur ska adressen eller porten se ut under behandlingen?”.
Original och Translated
| Fält | Betydelse |
|---|---|
| Original source | Källadress före NAT |
| Translated source (SNAT) | Källadress efter NAT |
| Original destination | Måladdress före NAT |
| Translated destination (DNAT) | Måladdress efter NAT |
| Original service | Service eller port före NAT |
| Translated service (PAT) | Service eller port efter NAT |
Vid troubleshooting beskriver man först paketet före NAT och definierar sedan hur brandväggen ska översätta det.
Praktiska exempel
| Situation | Lämplig NAT-typ | Exempel |
|---|---|---|
| LAN-klienter behöver internet | MASQ eller SNAT | 10.10.10.80 går ut som brandväggens WAN-IP |
| Intern webbserver ska nås från internet | DNAT | Publik WAN-IP pekar på 172.16.16.10 |
| Extern och intern port skiljer sig | PAT | Extern TCP 5555, intern TCP 443 |
| Interna användare använder samma FQDN som externa | Loopback NAT | service.example.com fungerar internt och externt |
| Publicerad server ska gå ut med specifik publik IP | SNAT eller Reflexive Rule | Mailserver skickar med definierad publik IP |
| VPN-nät överlappar | SNAT eller DNAT | Site A ser site B via ett översatt nät |
SNAT, MASQ, DNAT och PAT
SNAT ändrar källadressen. Det klassiska fallet är utgående internettrafik från LAN. Internt behåller klienterna sina privata IP-adresser, men externt syns brandväggens WAN-IP eller en definierad publik IP.
MASQ är en enkel SNAT-variant. Vanligtvis översätter MASQ Source IP till IP-adressen på utgående interface. Sophos Firewall har en Default SNAT rule med MASQ; om den inte behövs är det oftast bättre att inaktivera den än att radera den.
DNAT ändrar måladdress och används för att publicera en intern server via publik IP eller port. PAT ändrar service eller port via Translated service (PAT).
| Externt | Internt |
|---|---|
TCP 5555 | TCP 443 |
TCP 20120 | TCP 22 |
TCP 8443 | TCP 443 |
Protokollet måste stämma: TCP till TCP, UDP till UDP.
Exempel: publicera Synology med DNAT
I exemplet är Synology_5555 nåbar från utsidan. Internt lyssnar servern på HTTPS. NAT rule översätter därför publik destination till intern server och publik service till intern service.
Administrationsytor som NAS, RDP, SSH eller WebAdmin bör bara exponeras direkt när det verkligen behövs. Ofta är VPN eller ZTNA bättre.
DNAT rule fält för fält
| Fält | Rekommendation |
|---|---|
| Rule name | Tydligt namn, till exempel DNAT_SYNOLOGY_5555. |
| Description | Dokumentera varför regeln finns och vem som skapade den. |
| Rule position | Specifika regler ovanför generella regler. |
| Original source | Kan begränsas i NAT, men ofta är det renare att sköta källbegränsning i Firewall Rule. |
| Original destination | Publik adress före NAT. Använd helst ett host object för WAN-IP istället för WAN-interface direkt. |
| Original service | Extern service eller port, till exempel Synology_5555. |
| Translated source (SNAT) | Vanligtvis Original; ändra bara om den interna servern ska se brandväggen som source. |
| Translated destination (DNAT) | Intern server eller serverlista. |
| Translated service (PAT) | Intern service eller port, till exempel HTTPS; utan portändring används Original. |
| Inbound interface | Ofta Any eller WAN. |
| Outbound interface | Vanligtvis Any. |
Matchande Firewall Rule
En DNAT rule räcker inte. En Firewall Rule måste också tillåta trafiken.
| Fält | Rekommendation |
|---|---|
| Source zones | Vanligtvis WAN. |
| Source networks and devices | Undvik Any när det går; använd länder, IP-adresser, nät, FQDN hosts eller grupper. |
| Destination zones | Zon för det interna målet, till exempel SERVER eller DMZ. |
| Destination networks | Publik adress eller WAN host object från Original destination. |
| Services | Extern service från Original service. |
| Log firewall traffic | Aktivera för publicerade tjänster. |
💡 Publika tjänster skannas ofta snabbt av botar. Sophos Firewall Threat Feeds hjälper till att blockera kända skadliga IP-adresser, domäner eller URL:er tidigt.
Loopback, Reflexive Rules och ordning
En Loopback Rule behövs när interna klienter ska nå en intern server via publik IP eller publik FQDN. Split DNS är ofta enklare och renare.
En Reflexive Rule är en automatiskt skapad SNAT rule för en DNAT rule. Den kan vara användbar om den publicerade servern ska gå ut med en specifik publik IP. För vanliga svar på en DNAT-anslutning behövs den normalt inte.
Sophos behandlar NAT rules uppifrån och ned. Första matchen vinner. Specifika DNAT- och SNAT-regler ska ligga ovanför generella MASQ-regler.
Load balancing och Health Check
Om flera interna servrar anges som Translated destination kan brandväggen fördela trafiken.
| Metod | Användning |
|---|---|
| Round robin | Enkel fördelning |
| First alive | Primär server med failover |
| Random | Slumpmässig fördelning |
| Sticky IP | Samma source-destination kombination på samma server |
| One-to-one | Fast mappning |
För att kontrollera serverns tillgänglighet måste Health check aktiveras.
Troubleshooting
- Öppna Log viewer och filtrera på Source IP, Destination IP och service.
- Kontrollera Firewall Rule ID och NAT Rule ID.
- Kontrollera NAT rule-position.
- Kontrollera Firewall Rule-position.
- Använd Diagnostics > Packet capture.
- Kontrollera
nat_rule.log,firewall_rule.logochfwlog.log. - Vid VPN eller XFRM, kontrollera även
charon.log,strongswan.logochxfrmi.log.
Om NAT rule fortfarande inte matchar hjälper Firewall rule matchar inte: kontrollera ordning, matching och loggar och Använd Packet Capture i WebAdmin. Services och loggar beskrivs i Sophos Firewall Troubleshooting: Services och logs. För support kan loggar exporteras med Spara Sophos Firewall-loggar för support och analys.