Un firewall NAT permite que el tráfico de Internet pase a través de la puerta de enlace si un dispositivo de la red privada lo solicita. Se descartarán todas las solicitudes no solicitadas y los paquetes de datos, y se impedirá la comunicación con dispositivos potencialmente peligrosos.
Una puerta de enlace de nivel 1 tiene configurado un firewall tanto SNAT como de puerta de enlace (GWFW), y si un GWFW no está configurado para tener estado, configure NO SNAT para las subredes anunciadas de la puerta de enlace de nivel 1. De lo contrario, se producirá un error en el tráfico a las direcciones IP de estas subredes.
En el siguiente ejemplo, T1-A es la puerta de enlace y hay una regla SNAT configurada que traduce todo el tráfico de su subred asociada 192.168.1.0/0 a 10.1.1.1.
- Cualquier flujo de tráfico que se inicie desde VM-A/192.168.1.1 se traducirá a 10.1.1.1 como la IP de origen, independientemente de si el firewall de puerta de enlace tiene estado, no lo tiene o está deshabilitado. Cuando el tráfico de VM-C o VM-B regresa para ese flujo, tendrán una IP de destino de 10.1.1.1; T1-A coincidirá con el flujo de SNAT y lo traducirá correctamente para que vuelva a fluir a VM-A. La regla SNAT funciona según lo esperado sin problemas.
- VM-B/20.1.1.1 inicia un flujo de tráfico a VM-A/192.168.1.1. Aquí, hay una diferencia en el comportamiento cuando T1-A tiene un firewall con estado respecto a cuando no tiene firewall o tiene un firewall sin estado. Las reglas de firewall permiten el tráfico entre VM-B y VM-A. Para este escenario, configure una regla NO-NAT para el tráfico que vincule 192.168.1.0/24 a 20.1.1.0/24. Si esta regla NO-NAT existe, no habrá diferencias en el comportamiento.
- Si T1-A tiene un firewall con estado, el firewall T1-A creará una entrada de conexión de firewall para el paquete TCP SYN de VM-B/20.1.1.1a VM-A/192.168.1.1. Cuando VM-A responda, T1-A vinculará el paquete de respuesta a la entrada de conexión con estado y reenviará el tráfico de VM-A/192.168.1.1 a VM-B/ 20.1.1.1 sin traducción SNAT. Esto se debe a que el firewall omitirá la búsqueda de SNAT cuando el tráfico de retorno coincida con una entrada de conexión de firewall.
- Si T1-A tiene el firewall deshabilitado o sin estado, el firewall de T1-A reenviará el paquete TCP SYN de VM-B/20.1.1.1 a VM-A/192.168.1.1 sin crear ninguna entrada de conexión de firewall, ya que no tendrá estado o no tiene firewall. Cuando VM-A/192.168.1.1 responde a VM-B/20.1.1.1, T1-A detecta que no hay ninguna entrada de conexión de firewall, ejecuta SNAT en ella y traduce la IP de origen de VM-A/192.168.1.1 a 10.1.1.1. Cuando esa respuesta vuelve a VM-B, VM-B descartará el tráfico porque la dirección IP de origen es 10.1.1.1 en lugar de VM-A/192.168.1.1.