Las directivas NAT nos permiten tener una gran flexibilidad para controlar la traducción de direcciones de red basada en combinar las coincidencias de la dirección IP de origen, la dirección IP de destino y los servicios que usaremos en el destino. El NAT basado en políticas, nos permitirá implementar diferentes tipos de NAT simultáneamente.
En primer lugar, vamos a crear los objetos necesarios para nuestra nueva política de
NAT. Si no estáis familiarizados con el proceso de creación de los objetos podéis acceder a los enlaces que os dejamos a continuación.
Una vez hayamos creado los objetos necesarios, e nuestro laboratorio serán los puertos que usa el servicio de grabación de nuestras cámaras de vigilancia y el objeto que definirá el grabador digital que guardará las imágenes que registren cada una de las cámaras.
En el menú lateral izquierdo de la consola de SonicOS seleccionaremos la sección Network y, seguidamente seleccionaremos la opción llamada Nat Policies. Una vez nos encontremos en la sección de politicas de NAT, presionaremos el botón Add.
Aparecerá una nueva ventana emergente llamada Edit Nat Policy, donde rellenaremos cada una de las opciones descritas a continuación.
Original Source: Se usa para identificar las direcciones IP de origen, del paquete que atravesará el dispositivo el Firewall, ya sea a través de interfaces o usando túneles VPN. Podemos usar los Objetos de Dirección que tenemos creados de forma predeterminada en nuestro SonicOS, o podemos crear objetos propios. Estas entradas pueden ser de tipo host, rangos de direcciones IP o subnets.
Translated Source: Será a lo que se traduce la fuente original especificada, cuando el paquete sale el Firewall, ya sea usando túneles VPN o no. También, como en el caso anterior, podemos usar los objetos de dirección predeterminados de SonicOS, o crear nuestras propias entradas de Objeto de Dirección. Estas entradas pueden ser entradas de host, rangos de direcciones o subnets.
Original Destination: Se usa para identificar las direcciones IP que son el destino del paquete. Al crear políticas NAT de salida, esta entrada generalmente se establece en Any. Sin embargo, estas entradas pueden ser entradas de host, rangos de direcciones o IP subnets.
Translated Destination: Es a lo que nuestro Firewall traduce el Original Destination. Al crear políticas salientes de NAT, esta entrada generalmente se establece en Original. Sin embargo, estas entradas pueden ser entradas de host, rangos de direcciones o subnets.
Original Service: Se usa para identificar el servicio IP del paquete. Podremos usar los servicios que tenemos creados de forma predeterminada en nuestro sistema operativo de SonicWall, o podremos crear nuestras propias entradas. Para muchas políticas NAT, este campo se establece con el valor Any.
Translated Service: Identifica a lo que el Firewall traduce el Original Service cuando sale del dispositivo. Podemos usar los servicios predeterminados en el dispositivo de seguridad SonicWall o crear nuestras propias entradas. Para muchas Políticas NAT, este campo está configurado en Original.
Inbound Interface: Se utiliza para especificar la interfaz de entrada del paquete. Cuando se trata de la VPN, esto generalmente se establece en Any, ya que los túneles VPN no son realmente interfaces.
Outbound Interface: Se usa para especificar la interfaz de salida del paquete una vez que se ha aplicado la política de NAT. Este campo se usa principalmente para especificar a qué interfaz WAN. Cuando se trata de VPN, esto generalmente se establece en Any, ya que los túneles VPN no son realmente interfaces. Además, al crear políticas entrantes NAT donde el destino se reasigna desde una dirección IP pública a una dirección IP privada, este campo tendría que ser configurado como Any.
Comment: Este campo se puede usar para introducir una descripción de nuestra entrada de política NAT. El campo Comment tiene un límite de 32 caracteres y, una vez guardado, se puede ver en el listado de las políticas de NAT cuando pasamos el ratón sobre el globo de texto, situado al lado de la entrada de la política de NAT. Nuestro comentario aparecerá en una ventana emergente.
Enable NAT Policy: De forma predeterminada, esta casilla está marcada, lo que significa que la nueva política NAT se activa en el mismo momento en que se guarda. Para crear una entrada de política NAT pero no activarla inmediatamente, desmarcaremos la casilla.
En nuestro laboratorio las configuraciones serán las siguientes:
Original Source: Any
Translated Source: Original
Original Destination: Wan interface IP
Translated Destination: Objeto Grabador Digital
Original Service: Objeto Grupo puertos Camara
Translated Service:Original
Inbound Interface: Any
Outbound Interface: Any
Comment:
Una vez configurada la nueva política de NAT, pulsaremos el botón OK y aparecerá en el listado.
Espero os sea de utilidad.