Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 4 subscribers
  • Views 7622 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT überflüssig?

Mirko Hermlebe

Hallo!

Ich werde in zwei Tagen in einer Schule die UTM 9.4 einer Sophos SG115 konfigurieren. Es sollten soweit keine Probleme auftreten, aber mein ehemaliger Kollege, der in den letzten Jahren immer die UTMs konfiguriert hat meinte mal, dass er in der UTM jedesmal DNAT-Regeln erstellt hat (auch wenn nach der Sophos noch ein Router zum Einsatz kam, welcher die Einwahl machte und das öffentliche Netz mit dem privaten Netz trennte).

Mein Router in der Schule wird eine Fritzbox sein und ich werde die Ports des Routers manuell im Fritzbox-Webinterface freischalten (kein ExposedHost)

1) Ich denke mal, dass das klappt. Oder?

 

Das Schulnetz ist bis zum Router natürlich ein privater Adressbereich ;-) . Weshalb sollte ich nun noch D-natten? Das macht doch die Fritzbox.

2) Oder bewirken die NAT-Regeln in der UTM noch irgendetwas anderes(?), da mein ehemaliger Kollege immer DNAT-Regeln erstellt hat?

 

Vielen Dank!



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    wenn du auf der UTM nicht maskierst (NAT), kennt der Router davor, der von Privat auf Öffentlich umsetzt, die Netze hinter der Firewall nicht.

     

    Dadurch benötigst du es dann "doppelt".

     

    Du hast PrivatA - UTM - PrivatB - Router - Öffentlich.

     

    Der Router kennt nur Privat B. Wenn die UTM kein Maskieren macht, kommt sie mit Privat A an, und damit kann der Router nichts anfangen, außer du machst Routing.

     

    Gruß

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Danke dafür. Mir ist das mit der Maskierung bewusst. Vielleicht noch ergänzend: Mein Kollege sprach damals von DNAT und eine Regel sah bspw. so aus:

    ANY --> DIENSTE... --> UPLINK PRIMARY ADDRESSES        Destination translation: ServerXY

     

    Also müssen auch DNAT-Regeln für das Erreichen eines PRIV.A-Hosts aus dem ÖFFENTL. NETZ erstellt werden? Meinten Sie damit     "Dadurch benötigst du es dann "doppelt". "   ?  

    Ihr Aufbau war korrekt:

    PRIV. A  --> UTM --> PRIV. B --> ROUTER --> ÖFFENTL. NETZ

     

    Ich dachte ursprünglich, dass das natten am Fritzbox-Router genügt, um einen internen Host von aussen zu erreichen. In diesem Fall in das Netz PRIV.A  .

                                    

  • 0 in reply to Mirko Hermlebe

    Hallo,

    wenn deine Fritz Box eine Route zum Subnetz hinter der UTM (PRIV.A) hat, muß diese UTM nicht maskieren ... Die Maskierung in Richtung internet macht ja die fritzbox.
    ... aber das war ja gar nicht die Frage.
    das DNAT wird hier nur benötigt, um einen Server hinter der UTM (PRIV.A) aus dem Internet erreichbar zu machen.
    Wie der Name sagt DNAT = Dentination NAT , wird hier das Ziel eines Paketes geändert.
    Sollte so ein Server tatsächlich existieren, kann die Fritzbox eingehende Verbindungen dort hin auch direkt weiterleiten.

    Erfährt die fritzBox aber (evtl. aus Sicherheitsgründen) nichts vom PRIV.A-netz und maskiert man dieses an der UTM (so dass die fritzbox nur eine IP aus PRIV.B für alles sieht), so muß die Fritzbox eingehende Pakete für einen eventuellen Server im PRIV.B-LAN an die UTM leiten und diese per DNAT weiter an den Server.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML