Eine NAT-Firewall lässt zu, dass Internetdatenverkehr durch das Gateway geleitet wird, wenn das durch ein Gerät im privaten Netzwerk angefordert wird. Alle unerbetenen Anforderungen oder Datenpakete werden verworfen, um die Kommunikation mit potenziell gefährlichen Geräten zu verhindern.

Wenn für ein Tier-1-Gateway sowohl die SNAT- als auch die Gateway-Firewall (GWFW) konfiguriert sind und die GWFW nicht als statusbehaftet konfiguriert ist, müssen Sie für die beworbenen Subnetze des Tier-1-Gateways „NO SNAT“ konfigurieren. Andernfalls schlägt der Datenverkehr zu IP-Adressen in diesen Subnetzen fehl.

Im Beispiel unten ist T1-A das Gateway. Außerdem ist eine SNAT-Regel konfiguriert, die jeglichen Datenverkehr von dem angeschlossenen Subnetz 192.168.1.0/0 für 10.1.1.1 überträgt.

""

Im Folgenden finden Sie einige Datenverkehrsszenarien:
  1. Jeder Datenstrom, der von VM-A/192.168.1.1 initiiert wird, wird auf 10.1.1.1 als Quell-IP übersetzt, unabhängig davon, ob die Gateway-Firewall statusbehaftet, statusfrei oder deaktiviert ist. Wenn der Datenverkehr von VM-C oder VM-B für diesen Flow zurückgegeben wird, hat er eine Ziel-IP von 10.1.1.1. T1-A stimmt dann mit dem SNAT-Flow überein und übersetzt ihn korrekt, sodass er wieder zu VM-A fließt. Die SNAT-Regel funktioniert wie erwartet und es gibt keine Probleme.
  2. VM-B/20.1.1.1 initiiert einen Datenfluss zu VM-A/192.168.1.1. Hier gibt es einen Unterschied im Verhalten, wenn T1-A über eine statusbehaftete Firewall verfügt, im Gegensatz zu T1-A ohne Firewall oder mit Stateless Firewall. Die Firewall-Regeln lassen den Datenverkehr zwischen VM-B und VM-A zu. Für dieses Szenario konfigurieren Sie eine „NO-NAT“-Regel für den Verkehr zwischen 192.168.1.0/24 und 20.1.1.0/24. Wenn diese „NO-NAT“-Regel vorhanden ist, besteht kein Unterschied im Verhalten.
  3. Wenn T1-A über eine statusbehaftete Firewall verfügt, erstellt die T1-A-Firewall einen Firewallverbindungseintrag für das TCP-SYN-Paket von VM-B/20.1.1.1 an VM-A/192.168.1.1. Wenn VM-A antwortet, gleicht T1-A das Antwortpaket mit dem statusbehafteten Verbindungseintrag ab und leitet den Datenverkehr von VM-A/192.168.1.1 an VM-B/ 20.1.1.1 ohne SNAT-Übersetzung weiter. Das liegt daran, dass die Firewall die SNAT-Suche überspringt, wenn der zurückgegebene Datenverkehr mit einem Firewallverbindungseintrag übereinstimmt.
  4. Wenn bei T1-A die Firewall deaktiviert oder statusfrei ist, leitet die T1-A-Firewall das TCP SYN-Paket von VM-B/20.1.1.1 an VM-A/192.168.1.1 weiter, ohne einen Firewallverbindungseintrag zu erstellen, da es sich entweder um eine statusfreie oder keine Firewall handelt. Wenn VM-A/192.168.1.1 VM-B/20.1.1.1 antwortet, erkennt T1-A, dass kein Firewallverbindungseintrag vorhanden ist, führt SNAT darauf aus und übersetzt die Quell-IP von VM-A/192.168.1.1 in 10.1.1.1. Wenn diese Antwort an VM-B zurückgegeben wird, verwirft VM-B den Datenverkehr, da die Quell-IP-Adresse 10.1.1.1 anstelle von VM-A/192.168.1.1 lautet.