#Configurazione# Configurazione di un Destination NAT (DNAT) su Sangfor NGAF V8.0.85
  

Sangfor Jojo Lv5Posted 14 May 2024 15:01


*Prodotto: NGAF
*Versione:8.0.85
*1. Introduzione
  
1.1 Scenario
Sangfor DNAT (Destination Network Address Translation) è una funzionalità presente sui prodotti Sangfor IAM (Internet Access Management) e NGFW (Next-Generation Firewall).

DNAT (Destination Network Address Translation) è un metodo di routing utilizzato per permettere ad un firewall di tradurre un ip di destinazione in un altro ip di destinazione.

DI seguito vengono riportati dei punti chiave riguardo Sangfor DNAT:
1) Viene usato per reindirizzare il traffico in arrivo su un host od un server specifico all’interno della rete locale.
2) Viene spesso usato per dare accesso dall’esterno a dispositivi che sono nella rete locale.
3) Può essere configurato nelle interfacce web dei prodotti Sangfor IAM ed NGFW.
4) La configurazione permette di impostare l’ip originale con relativa porta di destinazione e l’ip e porta di destinazione finale di traduzione.
5) Questo aspetto è utile per scenari in cui si vuole esporre un servizio od un’applicazione locale su internet.
Di seguito in questa guida, vedremo i passaggi da seguire per pubblicare una risorsa locale.

  
1.2 Requisiti
  
1. Firewall Sangfor NGAF aggiornato all’ultima versione
2. Indirizzo ip e porta usati dalla risorsa locale che si vuole dare accesso dall’esterno

*2. Configurazione
In questa guida, abbiamo la rete locale 10.0.0.0/24 e si vuole pubblicare un server web locale (apache2) raggiungibile internamente con l’ip 10.0.0.5 sulla porta 20443
  
2.1 Configurazione DNAT NGAF DNAT
Passo 1. Controllare attentamente le zone definite nel firewall e configurare I relativi oggetti di rete su NGAF.
Per far ciò, occorre recarsi nella seguente sezione di NGAF:
  
In questo esempio abbiamo:
Zona Sorgente: L3_WAN (la nostra wan)
IP Pubblico: UTGNET (il nostro provider)
L’ip del webserver locale: PHPIPAM (il nostro webserver che si vuole pubblicare)


Passo 2. Creare un oggetto servizio custom dato che dobbiamo usare la porta 20443 TCP. Per far ciò, occorre recarsi nella seguente sezione di NGAF:

  
Nel nostro esempio ho creato un oggetto servizio custom chiamato IPAM_20443


  
Passo 3. Creare ora un oggetto DNAT nella seguente sezione:

Selezionare Destination NAT uando gli oggetti creati nei passi precedenti.
Di seguito potete vedere che non uso una porta interna diversa dalla porta esterna.
  
Di conseguenza, lascio bianco il campo Translate Port to


2.2 Configurazione policy NGAF
Passo 1. Nell’ultimo passaggio, se si sceglie di aggiungere automaticamente la policy ACL (Add ACL Policy automatically), si verrà reindirizzati nella sezione relativa alle policy dell’interfaccia web di NGAF.
Personalmente suggerisco di creare manualmente la policy su NGAF come segue:

  
Nel nostro esempio, ho creato una regola di controllo applicativa (application control rule) come segue:

  
*3. Attenzione
Quando si crea un oggetto service custom, è importante specificare 0-65535 come intervallo di porte sorgente, dato che non si può sapere la porta che viene usata dall’esterno per accedere alla risorsa pubblicata.


This article is written by Enrico Vanzetto who is a technical engineer and has much experience and a better understanding of Sangfor network secure (NGAF), HCI, Endpoint Secure, VDI, and Cyber Command products. If you want to know more about him, you can follow him.



2_Sangfor NGAF V8.0.85 DNAT configuration guide__Enrico_ITA.pdf

285.83 KB, Downloads: 244

Like this topic? Like it or reward the author.

Creating a topic earns you 5 coins. A featured or excellent topic earns you more coins. What is Coin?

Enter your mobile phone number and company name for better service. Go

Sangfor Jojo Lv5Posted 14 May 2024 15:05
  
Congratulations on getting 4000 coins.

If you want to share articles like troubleshooting cases or configuration guides, please click the link below to register for this event.
Newbie290036 Posted 22 May 2024 18:57
  
Very informative.