Un firewall NAT consente al traffico Internet di passare attraverso il gateway se un dispositivo nella rete privata lo richiede. Eventuali richieste o pacchetti di dati indesiderati vengono eliminati, impedendo la comunicazione con dispositivi potenzialmente rischiosi.
Se in un gateway di livello 1 è stato configurato il firewall SNAT e gateway (GWFW) e se il GWFW non è configurato per essere di tipo stateful, è necessario configurare NESSUN SNAT per le subnet annunciate del gateway di livello 1. In caso contrario il traffico verso gli indirizzi IP in queste subnet non riuscirà.
Nel seguente esempio, T1-A è il gateway ed è configurata una regola SNAT che converte tutto il traffico dalla subnet collegata 192.168.1.0/0 alla subnet 10.1.1.1.
Di seguito sono riportati alcuni scenari di traffico:
- Qualsiasi flusso di traffico avviato da VM-A/192.168.1.1 verrà convertito in 10.1.1.1 come IP di origine, indipendentemente dal fatto che il firewall del gateway sia di tipo stateful, stateless o disabilitato. Quando viene restituito il traffico da VM-C o VM-B per tale flusso, avranno un IP di destinazione di 10.1.1.1; T1-A lo abbinerà al flusso SNAT e lo tradurrà correttamente in modo che ritorni a VM-A. La regola SNAT funziona come previsto e non si verificano problemi.
- VM-B/20.1.1.1 avvia un flusso di traffico verso VM-A/192.168.1.1. In questo caso, esiste una differenza di comportamento quando T1-A dispone di un firewall stateful rispetto a quando non dispone di firewall o dispone di un firewall stateless. Le regole del firewall consentono il traffico tra VM-B e VM-A. Per avere questo scenario, configurare una regola NESSUN NAT per il traffico corrispondente da 192.168.1.0/24 a 20.1.1.0/24. Quando è presente questa regola NESSUN NAT, non esisteranno differenze di comportamento.
- Se T1-A dispone di un firewall stateful, il firewall T1-A creerà una voce di connessione del firewall per il pacchetto SYN TCP da VM-B/20.1.1.1 a VM-A/192.168.1.1. Quando VM-A risponde, T1-A abbinerà il pacchetto di risposta con la voce di connessione stateful e inoltrerà il traffico da VM-A/192.168.1.1 a VM-B/20.1.1.1, senza alcuna traduzione SNAT. Questo perché il firewall ignorerà la ricerca SNAT quando il traffico di ritorno corrisponde a una voce di connessione del firewall.
- Se il firewall di T1-A è disabilitato o è stateless, il firewall di T1-A inoltrerà il pacchetto SYN TCP da VM-B/20.1.1.1 a VM-A/192.168.1.1 senza creare una voce di connessione del firewall poiché è stateless o senza firewall. Quando VM-A/192.168.1.1 risponde a VM-B/20.1.1.1, T1-A rileva che non è presente alcuna voce di connessione del firewall, esegue la regola SNAT e converte l'IP di origine da VM-A/192.168.1.1 a 10.1 .1.1. Quando tale risposta arriva a VM-B, VM-B eliminerà il traffico poiché l'indirizzo IP di origine è 10.1.1.1 anziché VM-A/192.168.1.1.