#Configurazione# Configurazione di un Destination NAT (DNAT) su Sangfor NGAF V8.0.85

Show author only · Posted 14 May 2024 15:01

*Prodotto: NGAF

*Versione:8.0.85

*1. Introduzione

1.1 Scenario

Sangfor DNAT (Destination Network Address Translation) è una funzionalità presente sui prodotti Sangfor IAM (Internet Access Management) e NGFW (Next-Generation Firewall).

DNAT (Destination Network Address Translation) è un metodo di routing utilizzato per permettere ad un firewall di tradurre un ip di destinazione in un altro ip di destinazione.

DI seguito vengono riportati dei punti chiave riguardo Sangfor DNAT:

1) Viene usato per reindirizzare il traffico in arrivo su un host od un server specifico all’interno della rete locale.

2) Viene spesso usato per dare accesso dall’esterno a dispositivi che sono nella rete locale.

3) Può essere configurato nelle interfacce web dei prodotti Sangfor IAM ed NGFW.

4) La configurazione permette di impostare l’ip originale con relativa porta di destinazione e l’ip e porta di destinazione finale di traduzione.

5) Questo aspetto è utile per scenari in cui si vuole esporre un servizio od un’applicazione locale su internet.

Di seguito in questa guida, vedremo i passaggi da seguire per pubblicare una risorsa locale.

1.2 Requisiti

1. Firewall Sangfor NGAF aggiornato all’ultima versione

2. Indirizzo ip e porta usati dalla risorsa locale che si vuole dare accesso dall’esterno

*2. Configurazione

In questa guida, abbiamo la rete locale 10.0.0.0/24 e si vuole pubblicare un server web locale (apache2) raggiungibile internamente con l’ip 10.0.0.5 sulla porta 20443

2.1 Configurazione DNAT NGAF DNAT

Passo 1. Controllare attentamente le zone definite nel firewall e configurare I relativi oggetti di rete su NGAF.

Per far ciò, occorre recarsi nella seguente sezione di NGAF:

In questo esempio abbiamo:

Zona Sorgente: L3_WAN (la nostra wan)

IP Pubblico: UTGNET (il nostro provider)

L’ip del webserver locale: PHPIPAM (il nostro webserver che si vuole pubblicare)

Passo 2. Creare un oggetto servizio custom dato che dobbiamo usare la porta 20443 TCP. Per far ciò, occorre recarsi nella seguente sezione di NGAF:

Nel nostro esempio ho creato un oggetto servizio custom chiamato IPAM_20443

Passo 3. Creare ora un oggetto DNAT nella seguente sezione:

Selezionare Destination NAT uando gli oggetti creati nei passi precedenti.
Di seguito potete vedere che non uso una porta interna diversa dalla porta esterna.

Di conseguenza, lascio bianco il campo Translate Port to

2.2 Configurazione policy NGAF

Passo 1. Nell’ultimo passaggio, se si sceglie di aggiungere automaticamente la policy ACL (Add ACL Policy automatically), si verrà reindirizzati nella sezione relativa alle policy dell’interfaccia web di NGAF.
Personalmente suggerisco di creare manualmente la policy su NGAF come segue:

Nel nostro esempio, ho creato una regola di controllo applicativa (application control rule) come segue:

*3. Attenzione

Quando si crea un oggetto service custom, è importante specificare 0-65535 come intervallo di porte sorgente, dato che non si può sapere la porta che viene usata dall’esterno per accedere alla risorsa pubblicata.

This article is written by Enrico Vanzetto who is a technical engineer and has much experience and a better understanding of Sangfor network secure (NGAF), HCI, Endpoint Secure, VDI, and Cyber Command products. If you want to know more about him, you can follow him.

Show author only · Posted 14 May 2024 15:05

Congratulations on getting 4000 coins.

If you want to share articles like troubleshooting cases or configuration guides, please click the link below to register for this event.

https://community.sangfor.com/forum.php?mod=viewthread&tid=9641

Click here to view the articles contributed by forum members

Show author only · Posted 22 May 2024 18:57

Very informative.

Active Member

Tech Xpert

Contributor

Creativaholic

Trending Topics

Board Leaders