{"id":6251,"date":"2019-03-17T12:07:56","date_gmt":"2019-03-17T11:07:56","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=6251"},"modified":"2019-03-19T15:18:51","modified_gmt":"2019-03-19T14:18:51","slug":"howto-snat-port-forwarding-auf-einer-watchguard-firewall","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2019\/03\/howto-snat-port-forwarding-auf-einer-watchguard-firewall\/","title":{"rendered":"HOWTO: SNAT (Port Forwarding) auf einer WatchGuard Firewall"},"content":{"rendered":"

Dieser Artikel beschreibt die Einrichtung eines Port Forwardings (SNAT) auf einer WatchGuard Firewall.<\/p>\n

<\/p>\n

Sollen einzelne Zugriffe von Extern ins interne Netz weitergeleitet werden, wird ein eingehendes NAT (Network-Address-Translation) ben\u00f6tigt. Bei \u00fcblichen Modem-Routern (Fritzbox etc.) wird dieses Vorgehen \u201ePort Forwarding\u201c genannt.<\/p>\n

Sehr h\u00e4ufig ist es notwendig, verschiedene Ports auf verschiedene interne Server weiterzureichen. WatchGuard hat dieses Vorgehen etwas abstrahiert, was erfahrungsgem\u00e4\u00df zwar sehr praktisch ist, aber f\u00fcr Personen, die das erste Mal damit konfrontiert werden, etwas ungew\u00f6hnlich erscheint.<\/p>\n

Zun\u00e4chst muss man sich vorstellen, dass der Port Forward in zwei Aktionen aufgesplittet wird:<\/p>\n

    \n
  1. das eingehende NAT<\/li>\n
  2. die portbasierte Paket-Filter-Regel (bzw. Proxy-Filter-Regel)<\/li>\n<\/ol>\n

    Zun\u00e4chst definieren wir also den eingehenden NAT in einer SNAT-Action. SNAT steht hierbei f\u00fcr Static NAT \u2013 es ist statisch eine eingehende IP der internen IP zugeordnet.
    \nIm Policy Manager wird das \u00fcber Setup => Actions => SNAT konfiguriert. In der Maske kann man anschlie\u00dfend das NAT konfigurieren:<\/p>\n

    \"\"<\/a>\"\"<\/a><\/p>\n

     <\/p>\n

    Man sieht sehr sch\u00f6n, dass hier mehrere Regeln definiert werden k\u00f6nnen. Diese k\u00f6nnen mit Add hinzugef\u00fcgt und mit Edit bearbeitet werden. In der eigentlichen Edit-Box hat man nun die M\u00f6glichkeit, die (Externe) IP-Adresse zu definieren, f\u00fcr die das NAT gelten soll. Any-External steht hierbei f\u00fcr \u201eegal auf welchem externen Interface\u201c. Hier kann man auch ein gezieltes Interface einstellen (z.B. \u201eDSL\u201c oder \u201eCompanyConnect\u201c, wenn man die Interfaces so benannt hat). Ebenso erscheinen hier in der Interface-Maske die DMZ-Interfaces (genauer gesagt: alle Intefaces, die nicht vom Typ \u201eTrusted\u201c sind. Wenn man statische IPs auf das externe Interface gebunden hat, so sind diese auch hier gelistet und k\u00f6nnen gew\u00e4hlt werden. Im typischen Fall mit einer einzigen IP auf dem externen Interface reicht hier das \u201eAny-External\u201c.<\/p>\n

    Nun wird die interne IP festgelegt, an die der Traffic weitergeleitet werden soll. In diesem Falle ist es die IP 10.0.2.21<\/p>\n

    Damit ist nun also die erste H\u00e4lfte konfiguriert: Traffic von Extern an die Firewall wird (sofern es die Policies erlauben, die wir im zweiten Schritt einrichten) an genau die dort hinterlegte IP weitergeleitet.<\/p>\n

    Als n\u00e4chstes wird nun eine Policy erstellt, die den eingehenden Traffic erlaubt:<\/p>\n