DNAT (Destination Network Address Translation) jest techniką adresacji polegającą na tłumaczeniu docelowych adresów IP na adresy dostępne dla odbiorców zapytujących o usługi sieciowe.
W praktyce – zazwyczaj są to adresy IP, z puli prywatnej, serwerów (jak np. serwer WWW lub SMTP) działających w sieciach lokalnych; tłumaczone na publiczne adresy IP.
W celu skonfigurowania nowej usługi DNAT, wybieramy zakładkę Policy -> Security Policy -> DNAT, naciskamy New, a następnie jedną z trzech rodzajów reguły/polityki DNAT:
IP Mapping
W oknie IP Mapping Configuration ustawiamy następujące pola:
Requirements
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny)
– Destination Address – adres IP hosta docelowego (wskazany z zewnątrz). Wpisujemy własny („IP Address”, „IP/Netmask”, „Dynamic IP”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
Mapping
– Mapped to – adres IP hosta, na który wskazujemy przekierowanie z adresu wpisanego do pola Destination Address. Wpisujemy własny („IP Address”, „IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
Others
– HA Group – grupa klastra HA. Wybieramy, gdy urządzenie pracuje w trybie HA (więcej tutaj: HA – (zabezpieczenia.it))
– Description – opcjonalny opis
DNAT do mapowania adresów IP, zatwierdzamy przyciskiem OK.
Port Mapping
W oknie Port Mapping Configuration ustawiamy następujące pola:
Requirements
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny)
– Destination Address – adres IP hosta docelowego (wskazany z zewnątrz). Wpisujemy własny („IP Address”, „IP/Netmask”, „Dynamic IP”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Service – jedna z usług (lub grup usług), którą zamierzamy przekierować przez DNAT. Możemy wybrać jedną z predefiniowanych lub zdefiniowaną wcześniej w książce usług (więcej tutaj: Service Book – (zabezpieczenia.it) )
Mapping
– Mapped to – adres IP hosta, na który wskazujemy przekierowanie z adresu wpisanego do pola Destination Address. Wpisujemy własny („IP Address”, „IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Port Mapping – numer portu, na który chcemy przekierować ruch usługi wpisanej do pola Service (od 1 do 65535).
Others
– HA Group – grupa klastra HA. Wybieramy, gdy urządzenie pracuje w trybie HA (więcej tutaj: HA – (zabezpieczenia.it))
– Description – opcjonalny opis
DNAT do mapowania adresów IP oraz portów, zatwierdzamy przyciskiem OK.
Advanced Configuration
W oknie DNAT Configuration ustawiamy następujące pola:
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny)
– Source Address – adres IP hosta źródłowego (inicjującego połączenie z zewnątrz). Wpisujemy własny („IP Address”, „IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Destination Address – adres IP hosta docelowego (wskazany z zewnątrz). Wpisujemy własny („IP Address”, „IP/Netmask”, „Dynamic IP”) lub dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Service – jedna z usług (lub grup usług), którą zamierzamy przekierować przez DNAT. Możemy wybrać jedną z predefiniowanych lub zdefiniowaną wcześniej w książce usług (więcej tutaj: Service Book – (zabezpieczenia.it) )
Translated to
– Action – włączenie („NAT”) lub wyłączenie („No NAT”) translacji adresów.
– Translate to – adres IP hosta, na który wskazujemy przekierowanie z adresu wpisanego do pola Destination Address. Wpisujemy własny („IP Address”, „IP/Netmask”), dobieramy zdefiniowany wcześniej, z książki adresowej („Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it)) lub wskazujemy pulę adresów serwera balansującego obciążenie sieci („SLB Server Pool”; o ile takowy posiadamy).
Translate Service Port to
– Port – włączenie lub wyłączenie przekierowania ruchu na wskazany port.
– Port – numer portu, na który chcemy przekierować ruch usługi wpisanej do pola Service (od 1 do 65535).
– Load Balance – włączenie/wyłączenie balansowania obciążenia ruchu w sieci pomiędzy serwerami wewnętrznymi (intranetowymi)
– Redirect – przekierowanie ruchu, którego włączenie jest konieczne, jeśli adresy wpisane do pól Destination Address oraz Translate to, są od siebie różne.
Advanced Configuration
– HA Group – grupa klastra HA. Wybieramy, gdy urządzenie pracuje w trybie HA (więcej tutaj: HA – (zabezpieczenia.it))
– Track Ping Packets – śledzenie pakietów PING. Po włączeniu tej funkcji system będzie wysyłał pakiety PING, aby sprawdzić, czy serwery intranetowe są osiągalne.
– Track TCP Packets – śledzenie pakietów TCP. Po włączeniu tej funkcji system będzie wysyłał pakiety TCP w celu sprawdzenia, czy porty TCP serwerów intranetowych są osiągalne.
– TCP Port – numer portu wybrany do śledzenia pakietów TCP
– NAT Log – włączenie lub wyłączenie zapisywania w dzienniku informacji o ruchu sieciowym przechodzącym przez definiowaną regułę NAT
– Position – ustalenie pozycji na liście reguł NAT; na górze listy („Top”), na dole listy („Bottom”), przed regułą lub po regule o podanym ID („Before ID”/”After ID”)
– ID – numer identyfikacyjny reguły, przydzielany automatycznie („Automatically assign”) lub ręcznie („Manually assign”)
– Description – opcjonalny opis.
Translację DNAT z ustawieniami zaawansowanymi, zatwierdzamy przyciskiem OK.