Wechseln zu:Navigation, Suche
Wiki

KB/CONV00001012

Aus Securepoint Wiki

Logmeldung

  • HIDENAT/HIDENAT_EXCLUDE konvertiert: Quelle=%s, Ziel=%s, Dienst=%s, NAT-Objekt=%s. Diese Regel muss nach dem Import überprüft werden.
  • Portweiterleitung konvertiert: Quelle=%s, Ziel=%s, Dienst=%s, NAT-Objekt=%s, NAT-Dienst=%s. Diese Regel uss nach dem Import überprüft werden.

Erläuterung

In der UTMv10 wurden HideNATs, HideNAT-Ausnahmen und Portweiterleitungen unabhängig vom Firewall-Regelwerk konfiguriert, während die UTMv11 alle Funktionen im Firewall-Regelwerk vereint.

Die Converter versuchen für jedes NAT, eine Firewall-Regel zu finden, bei der Quelle, Ziel und freigegebener Dienst exakt dem konfigurierten NAT entsprechen. Solange diese Zuordnung von NAT und Firewall-Regel eindeutig ist, wird das NAT mit der zugehörigen Firewall-Regel kombiniert und keine Warnung ausgegeben.

Sollte die Zuordnung nicht eindeutig erfolgen können, werden die NATs trotzdem übernommen.

Dafür werden ganz unten im Regelwerk zwei neue Regelgruppen eingefügt:

  • Converted HideNATs - PLEASE CHECK
  • Converted Portforwardings - PLEASE CHECK

Innerhalb dieser Regelgruppen werden dann neue Regeln hinzugefügt, deren einziger Zweck das NAT ist. Die Aktion dieser Regeln ist aus Sicherheitsgründen immer "DROP".

  • Sollte im Regelwerk weiter oben bereits eine Firewall-Regel existieren, die die gewünschten Dienste zum Zielserver freigibt, matched diese und die "NAT-Regel" ganz unten übernimmt nur noch die Portweiterleitung.
    • In dem Fall kann später manuell die "NAT-Regel" entfernt und das NAT direkt in der richtigen Regel konfiguriert werden.
  • Sollte im Regelwerk weiter oben keine solche Firewall-Regel existieren, werden die Pakete von der "NAT-Regel" zwar erfasst, aber gleichzeitig auch verworfen.
    • Das passiert z.B. wenn in der UTMv10 eine Portweiterleitung mit dem Dienst "any" erstellt, aber im Regelwerk nur "http" freigegeben wurde. In dem Fall muss manuell geprüft werden, was das gewünschte Verhalten ist und die Konfiguration entsprechend verändert werden.

Hier bei sind auch die Wiki-Artikel zu Portfilter und Portweiterleitungen zu beachten.

Abgerufen von „https://wiki.securepoint.de/index.php?title=KB/CONV00001012&oldid=8345