SNAT (Source Network Address Translation) jest techniką adresacji polegającą na tłumaczeniu źródłowych adresów IP (inicjujących połączenia) na inne, gdy zachodzi taka potrzeba.
W praktyce – najczęściej są to adresy hostów z puli przeznaczonej dla sieci lokalnych, tłumaczone na adres najbliższej bramy/routera dysponującego adresem publicznym, umożliwiającym poruszanie się w globalnej sieci Internet.
W celu skonfigurowania nowej usługi SNAT, wybieramy New, a następnie w oknie SNAT Configuration ustawiamy następujące pola:
Requirements
– Virtual Router – router wirtualny
– Source Address – adres IP hosta źródłowego (inicjującego połączenie z zewnątrz). Wpisujemy własny (“IP Address”, “IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej (“Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Destination Address – adres IP hosta docelowego (wskazany z zewnątrz). Wpisujemy własny (“IP Address”, “IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej (“Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
– Ingress Traffic – interfejs z ruchem przychodzącym, objętym regułą SNAT. Domyślna opcja „All Traffic”, oznacza objęcie regułą całego ruchu przychodzącego.
– Egress – interfejs z ruchem wychodzącym, objętym regułą SNAT. Domyślna opcja „All Traffic”, oznacza objęcie regułą całego ruchu wychodzącego. Next-Hop Virtual Router pozwala nam wybrać router wirtualny następnego przeskoku.
– Service – jedna z usług (lub grup usług), którą zamierzamy przekierować przez SNAT. Możemy wybrać jedną z predefiniowanych lub zdefiniowaną wcześniej w książce usług (więcej tutaj: Service Book – (zabezpieczenia.it) )
Translated to
– Translated -> Egress IF IP – określa sposób ustalania adresu IP dla translacji, który ma być adresem IP interfejsu wyjściowego.
—— Sticky – włączenie sprawi, że wszystkie sesje jednego źródłowego adresu IP zostaną zmapowane do stałego adresu IP
—— Round-robin – włączenie sprawi, że wszystkie sesje jednego źródłowego adresu IP zostaną zmapowane do adresu IP ustalonego przez algorytm balansowania obciążeniem „Round robin” (*)
– Translated -> Specified IP – wyjściowy adres IP dla translacji wskazywany jest przez użytkownika.
—— Address – wyjściowy adres IP dla SNAT. Wpisujemy własny (“IP Address”, “IP/Netmask”) lub dobieramy zdefiniowany wcześniej, z książki adresowej (“Address Entry”; więcej tutaj: Address Book – (zabezpieczenia.it))
—— Mode – określa tryb translacji
——— Static – oznacza translację „jeden do jednego”. Tryb ten wymaga, aby wpis tłumaczonego adresu zawierał taką samą liczbę adresów IP jak wpis adresu źródłowego.
——— Dynamic IP – oznacza translację „wiele do jednego”. W tym trybie adres źródłowy jest tłumaczony na określony adres IP. Każdy adres źródłowy będzie mapowany na unikalny adres IP, aż wszystkie określone adresy zostaną zajęte.
——— Dynamic Port – wiele adresów źródłowych zostanie przetłumaczonych na jeden określony adres IP we wpisie adresu.
———— Jeśli opcja Sticky jest włączona, wszystkie sesje z danego adresu IP będą mapowane na ten sam stały adres IP.
———— Jeśli opcja Round-robin jest włączona, wszystkie sesje z danego adresu IP będą mapowane na ten sam stały adres IP.
———— Jeśli opcje Sticky i Round-robin nie są włączone, pierwszy adres we wpisie adresu zostanie użyty jako pierwszy; gdy zasoby portów pierwszego adresu zostaną wyczerpane, zostanie użyty drugi adres.
– Translated -> no NAT – wyłączenie translacji adresów
Advanced Configuration
– HA Group – grupa klastra HA. Wybieramy, gdy urządzenie pracuje w trybie HA (więcej tutaj: HA – (zabezpieczenia.it))
– NAT Log – włączenie lub wyłączenie zapisywania w dzienniku informacji o ruchu sieciowym przechodzącym przez definiowaną regułę NAT
– Position – ustalenie pozycji na liście reguł NAT; na górze listy (“Top”), na dole listy (“Bottom”), przed regułą lub po regule o podanym ID (“Before ID”/”After ID”)
– ID – numer identyfikacyjny reguły, przydzielany automatycznie (“Automatically assign”) lub ręcznie (“Manually assign”)
– Description – opcjonalny opis.