Управление правилами трансляции сетевых адресов

Вы можете управлять правилами трансляции сетевых адресов (англ. network address translation, далее также NAT) и правилами трансляции сетевых адресов и портов (англ. network address port translation, далее также NAPT) с помощью командной строки, используя семейство команд nat. Вы можете просмотреть информацию о сессиях, в которых к трафику были применены правила NAT и NAPT, с помощью командной строки, используя семейство команд pf-session. В командной строке для таких сессий отображается тип примененного правила, а также исходные и перенаправленные IP-адрес и порт (только для правил NAPT). Описание семейств команд для настройки работы Kaspersky NGFW вы можете найти в документе Управление Kaspersky NGFW с помощью командной строки.

Правила NAT и NAPT в Kaspersky NGFW

Трансляция сетевых адресов и портов для трафика, проходящего через Kaspersky NGFW, происходит на основе таблицы правил трансляции. К ответным пакетам, передаваемым в рамках сессии, к которой было применено правило NAT или NAPT, до завершения сессии применяется обратная трансляция сетевых адресов.

Kaspersky NGFW поддерживает следующие типы правил NAT и NAPT:

StaticSourceNat – статическая трансляция сетевых адресов. Входящий IP-адрес заменяется на IP-адрес, указанный в правиле.
StaticDestinationNapt – статическая трансляция сетевых адресов и портов. Внешний порт, указанный в правиле, резервируется. Весь трафик, поступающий на этот порт, транслируется на внутренние IP-адрес и порт, указанные в правиле.
DynamicSourceNat – динамическая трансляция сетевых адресов. Входящий IP-адрес заменяется на первый незанятый IP-адрес из тех, что указаны в правиле. IP-адрес, на который был заменен исходный IP-адрес, не может быть занят до завершения сессии.
DynamicSourceNapt – маскарадинг сетевых адресов и портов. Все IP-адреса и порты отправителя заменяются на конкретные IP-адрес и порт или один из IP-адресов и портов, указанных в правиле, с которых будет передаваться трафик. При этом для каждого подключения открывается новый порт для идентификации отправителя и получателя и передачи обратного трафика. После завершения сессии порт закрывается.
В правилах типа DynamicSourceNapt вы можете указывать только порты от 1024 и больше. Порты от 0 до 1023 используются в Kaspersky NGFW для служебных целей. Если вы укажете в правиле служебный порт, правило может не сработать либо одна или несколько служб Kaspersky NGFW может перестать работать.

Правила типа StaticSourceNat, DynamicSourceNat и DynamicSourceNapt могут применяться в том числе к пакетам, передаваемым по протоколу ICMP. При этом правила типа DynamicSourceNapt пропускают только отправляемые пакеты Echo Request и обрабатывают все поступающие ответные пакеты. Правила типа StaticSourceNat и DynamicSourceNat поддерживают протокол ICMP без ограничений.

В таблице ниже перечислены квалификаторы, которые вы можете задать в качестве параметров в правилах трансляции в зависимости от типа трансляции.

Квалификаторы правил NAT и NAPT

Тип правила	Составляющая часть правила	Квалификаторы
`StaticSourceNat`	Входящие параметры трафика	зона безопасности источника; IP-адрес источника; порт источника; диапазон портов источника; зона безопасности назначения; IP-адрес назначения; диапазон IP-адресов назначения; порт назначения; диапазон портов назначения.
`StaticSourceNat`	Параметры перенаправления	IP-адрес источника.
`StaticDestinationNapt`	Входящие параметры трафика	зона безопасности источника; IP-адрес источника; диапазон IP-адресов источника; порт источника; диапазон портов источника; IP-адрес назначения; порт назначения; диапазон портов назначения.
`StaticDestinationNapt`	Параметры перенаправления	IP-адрес назначения; порт назначения.
`DynamicSourceNat`	Входящие параметры трафика	зона безопасности источника; IP-адрес источника; диапазон IP-адресов источника; порт источника; диапазон портов источника; зона безопасности назначения; IP-адрес назначения; диапазон IP-адресов назначения; порт назначения; диапазон портов назначения.
`DynamicSourceNat`	Параметры перенаправления	IP-адрес источника; диапазон IP-адресов источника.
`DynamicSourceNapt`	Входящие параметры трафика	зона безопасности источника; IP-адрес источника; диапазон IP-адресов источника; порт источника; диапазон портов источника; зона безопасности назначения; IP-адрес назначения; порт назначения; диапазон портов назначения.
`DynamicSourceNapt`	Параметры перенаправления	IP-адрес источника; диапазон портов источника.

Порядок применения правил NAT и NAPT

Правила NAT и NAPT применяются к трафику в том порядке, в котором они расположены в таблице правил. При первом совпадении соответствующее правило применяется к трафику и поиск правил останавливается.

Вы можете настроить приоритет правила NAT или NAPT при его создании, изменив его место в таблице с помощью команды move в семействе команд nat. По умолчанию новое правило добавляется в конец списка и имеет самый низкий приоритет. Вы можете изменять порядок в том числе уже созданных правил.

Если вы включили использование правил NAT и NAPT и добавили маршруты для маршрутизации трафика, эти функциональности применяются в следующем порядке:

Для правил типа StaticDestinationNAPT: сначала применяется правило NAPT, затем маршрутизация.
Для правил типа StaticSourceNat, DynamicSourceNAT и DynamicSourceNapt (маскарадинг): сначала применяется маршрутизация, затем правила NAT или NAPT.

В начало