Configurar NAT dinámico

NAT dinámico se utiliza cuando el usuario quiere reenviar tráfico desde un segmento LAN a Internet en un puerto que no es de confianza. En este caso, el usuario configuraría la NAT en una dirección de salida, así como asegurarse de que las directivas de filtro correspondientes estén definidas para permitir que el tráfico vuelva a entrar. De forma predeterminada, una vez que se haya configurado la NAT dinámica, el sistema agregará tres directivas de filtro.

Estas directivas:

  • permitir cualquier ruta IPHost, Cualquier zona, Cualquier origen y destino.

  • permitir la regla establecida de coincidencia, para el tráfico inverso de sesiones iniciadas desde la red interna.

  • eliminar el resto del tráfico de la zona de origen a la zona de destino (zona específica).

La siguiente captura de pantalla muestra las opciones de configuración para la configuración NAT dinámica.

Imagen localizada

Opciones de configuración

  • Prioridad: Orden en que se aplicará la directiva dentro de todas las directivas definidas. Las directivas de prioridad inferior se aplican antes que las directivas de prioridad superior.

  • Dirección: La dirección desde la interfaz virtual o la perspectiva del servicio en la que operará la traducción.

  • Saliente: La dirección de destino de un paquete se traducirá para los paquetes recibidos en el servicio. La dirección de origen se traducirá para los paquetes transmitidos en el servicio.

Por ejemplo, servicio LAN a servicio de Internet: Para paquetes salientes, (LAN a Internet) se traduce la dirección IP de origen. Para los paquetes entrantes o recibidos (Internet a LAN) se traduce la dirección IP de destino.

  • Entrante: La dirección de origen de un paquete se traducirá para los paquetes recibidos en el servicio. La dirección de destino se traducirá para los paquetes transmitidos en el servicio.

Por ejemplo, servicio de Internet a servicio LAN: Para los paquetes recibidos en el servicio de Internet se traduce la dirección IP de origen. Para los paquetes transmitidos en el servicio de Internet, se traduce la dirección IP de destino.

  • Tipo: El tipo de NAT dinámico que se va a realizar.

    • Puerto restringido: NAT restringidopor puerto es lo que utilizan la mayoría de los enrutadores de Gateway de grado de consumo. Las conexiones entrantes generalmente no se permiten a menos que un puerto se reenvíe específicamente a una dirección interna. Las conexiones salientes permiten el tráfico de retorno desde la misma IP remota y puerto (esto se conoce como asignación independiente de dispositivo de punto final). Este requisito limita un firewall NAT restringido por puerto a 65535 sesiones simultáneas, pero facilita una tecnología de Internet de uso frecuente conocida como perforación de agujeros.

    • Simétrico: NAT simétrico a veces se conoce como NAT empresarial porque permite un espacio NAT mucho mayor y mejora la seguridad al hacer que las traducciones sean menos predecibles. Las conexiones entrantes generalmente no se permiten a menos que un puerto se reenvíe específicamente a una dirección interna. Las conexiones salientes permiten el tráfico de retorno desde la misma IP remota y puerto. Las conexiones desde la misma IP interior y el mismo puerto deben asignarse a la misma IP externa y puerto (esto se conoce como asignación dependiente del punto final). Este modo evita explícitamente la perforación de agujeros.

  • Tipo de servicio: En referencia a un servicio SD-WAN. Para NAT estática, estos incluyen Local (para el dispositivo), Intranet e Internet.

  • Nombre de servicio: Nombre de servicio específico que corresponde al tipo de servicio definido anteriormente.

  • Zona interior: Seleccione la zona interior para los paquetes que requieren NAT.

  • Dirección IP interna: Defina una dirección IP host o una subred basada en el tráfico que requiera NAT. Debería ser una dirección IP que resida en la zona interior.

  • Permitir Relacionado: Permite el tráfico relacionado con el flujo que coincide con la regla. Por ejemplo, la redirección ICMP relacionada con el flujo específico que coincide con la directiva, si hubo algún tipo de error relacionado con el flujo.

  • Acceso IPSec: Permite que el tráfico IPSec pase sin cambios.

  • Acceso GRE/PPTP: Permite que GRE o IPSec pasen sin cambios.

  • Paridad de puertos: Permite la paridad para conexiones NAT.

Configurar NAT dinámico