bintec Router-Serien und be.IP-Serie - Hinweise zur Änderung der Reihenfolge von NAT-Regeln

bintec Router-Serien und be.IP-Serie - Hinweise zur Änderung der Reihenfolge von NAT-Regeln

Vorbemerkungen

• In der Liste vorhandener NAT-Regeln soll die Position eines Eintrags geändert werden und damit auch die Reihenfolge bei der Abarbeitung der Regeln.
• Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.27 Patch 6 verwendet, die Konfiguration erfolgt mittels GUI.
• Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
• Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Die Konfiguration erfolgt im GUI Menü "Netzwerk" unter "NAT" auf der Menükartenseite "NAT-Konfiguration". Im vorliegenden Beispiel soll es vorzugsweise um NAT-Regeln mit der Richtung "Eingehend" gehen. Für die Richtung "Ausgehend" gelten die Ausführungen bezüglich der Reihenfolge dann sinngemäß.

Hinweise zur Bearbeitungsreihenfolge von NAT-Regeln

Die Liste vorhandener NAT-Regeln ist gruppiert nach den zugeordneten Interfaces und wird je Interface in der dargestellten Reihenfolge nach dem Prinzip "First Match" abgearbeitet - der erste zutreffende Eintrag entscheidet.

Das Verschieben eines NAT-Eintrags innerhalb der Gruppe eines Interfaces erfolgt mit Klick auf das Verschiebesymbol und ist selbsterklärend - ein gruppenübergreifendes Verschieben ist hiermit jedoch nicht so einfach möglich.

Da zur Festlegung der neuen Position die Beschreibung eines vorhandenen Eintrags auszuwählen ist, empfiehlt es sich, wenigstens die Nachbareinträge der Zielposition mit Beschreibungen zu versehen.

Eine Sonderrolle spielt hierbei die Gruppe mit Interface "Beliebig", da Ihre Einträge ja auf alle Interfaces angewendet werden sollen. Sobald also Einträge in der Gruppe "Beliebig" enthalten sind, ist die Reihenfolge der Abarbeitung nicht mehr so offensichtlich. In diesem Fall kommt es entscheidend auf die Anordnung der Einträge in der zugrunde liegenden SNMP-Tabelle "ipNatPresetTable" an ("ipNatOutTable" für "Ausgehend").

Im vorliegenden Beispiel sei ursprünglich ein NAT-Eintrag (namens "https zum Router") mit Interface "Beliebig" für TCP-Port 443 (https) schon vorhanden. Für ebenfalls TCP-Port 443 sei nun zusätzlich ein neuer NAT-Eintrag (namens "https zum Server") angelegt worden für das Interface "Telekom Business".

Beispiel für das GUI-Menü "NAT-Konfiguration" mit Beispieleinträgen in den Interface-Gruppen "Beliebig" und "Telekom Business":

Bild 1: GUI-Menü "NAT-Konfiguration" mit Beispieleinträgen in den Interface-Gruppen "Beliebig" und "Telekom Business"

Anzeige der maßgeblichen Reihenfolge in der "ipNatPresetTable" (z.B. auf der Telnet-Konsole):

rs353jw_ks:> ipNatPresetTable

inx IfIndex(*rw)       Protocol(*-rw)     RemoteAddr(rw)     RemoteMask(rw)
    ExtAddr(rw)        ExtMask(rw)        ExtPort(*rw)       ExtPortRange(rw)
    IntAddr(rw)        IntPort(rw)        IntMask(rw)        Timeout(rw)
    Descr(rw)

  0 0                  tcp                0.0.0.0            0.0.0.0
    0.0.0.0            0.0.0.0            443                -1
    0.0.0.0            -1                 255.255.255.255    0
    "https zum Router"

  1 30010001           tcp                0.0.0.0            0.0.0.0
    0.0.0.0            0.0.0.0            443                -1
    192.168.0.20       -1                 255.255.255.255    0
    "https zum Server"

rs353jw_ks:ipNatPresetTable>

Aufgrund der hier angezeigten Reihenfolge kann der neue Datensatz ("https zum Server") mit IfIndex "30010001" (hier "Telekom Business") nicht wirksam werden.

Beispiel für die Anzeige der maßgeblichen Reihenfolge im GUI-SNMP-Browser unter "ip", "ipNatPresetTable":

Bild 2: Anzeige der "ipNatPresetTable" im GUI-SNMP-Browser unter "ip"

Aufgrund der auch hier angezeigten Reihenfolge kann der neue Datensatz ("https zum Server") mit IfIndex "30010001" (hier "Telekom Business") nicht wirksam werden.

Prinzipielle Vorgehensweise zum Verschieben einer NAT-Regel

Das Verschieben eines NAT-Eintrags gelingt in drei einfachen Schritten:

1. Schritt1: Den NAT-Eintrag der Schnittstelle "Beliebig" zuordnen
2. Schritt2: Den NAT-Eintrag innerhalb der Gruppe "Beliebig" verschieben
3. Schritt3: Den verschobenen NAT-Eintrag der ursprünglichen Schnittstelle zuordnen

Schritt1: Den NAT-Eintrag der Schnittstelle "Beliebig" zuordnen

Im ersten Schritt ist im Edit-Menü des zu verschiebenden NAT-Eintrags die Schnittstelle auf "Beliebig" umzustellen und auf OK zu klicken. Folgerichtig werden nun beide NAT-Einträge in der Gruppe "Beliebig" angezeigt.

Beispiel für das GUI-Menü "NAT-Konfiguration" mit beiden NAT-Einträgen in Gruppe "Beliebig":

Bild 3: GUI-Menü "NAT-Konfiguration" mit beiden NAT-Einträgen in Gruppe "Beliebig"

Schritt2: Den NAT-Eintrag innerhalb der Gruppe "Beliebig" verschieben

Im zweiten Schritt ist nach Klick auf das Verschiebesymbol der zu verschiebenden NAT-Regel (hier "https zum Server") beim Feld "Verschieben" zusammen mit dem "über" der Name des ersten NAT-Eintrags (hier "https zum Router") auszuwählen.

Beispiel für das Verschiebemenü der zu verschiebenden NAT-Regel (hier "https zum Server"):

Bild 4: Verschiebemenü der zu verschiebenden NAT-Regel (hier "https zum Server")

Nach dem Klick auf OK erscheint der verschobene Eintrag (hier "https zum Server") nun an der ersten Position.

Beispiel für das GUI-Menü "NAT-Konfiguration" mit dem verschobenen Eintrag (hier "https zum Server") an erster Stelle:

Bild 5: GUI-Menü "NAT-Konfiguration" mit dem verschobenen Eintrag (hier "https zum Server") an erster Stelle

Schritt3: Den verschobenen NAT-Eintrag der ursprünglichen Schnittstelle zuordnen

Im dritten Schritt ist im Edit-Menü des verschobenen NAT-Eintrags (hier "https zum Server") die "Schnittstelle" wieder auf dessen ursprüngliches Interface (hier "Telekom Business") zurückzustellen. Nach dem Klick auf OK erscheint der verschobene NAT-Eintrag (hier "https zum Server") wieder separiert im der Gruppe dieses Interfaces (hier "Telekom Business").

Beispiel für das GUI-Menü "NAT-Konfiguration" mit den Beispieleinträgen in den Gruppen "Beliebig" und "Telekom Business":

Bild 6: GUI-Menü "NAT-Konfiguration" mit den Beispieleinträgen in den Gruppen "Beliebig" und "Telekom Business"

Kontrolle der neuen Reihenfolge nach der Verschiebung

Kontrolle der neuen Reihenfolge in der maßgeblichen "ipNatPresetTable" (z.B. auf der Telnet-Konsole):

rs353jw_ks:> ipNatPresetTable

inx IfIndex(*rw)      Protocol(*-rw)    RemoteAddr(rw)    RemoteMask(rw)
    ExtAddr(rw)       ExtMask(rw)       ExtPort(*rw)      ExtPortRange(rw)
    IntAddr(rw)       IntPort(rw)       IntMask(rw)       Timeout(rw)
    Descr(rw)

  0 30010001          tcp               0.0.0.0           0.0.0.0
    0.0.0.0           0.0.0.0           443               -1
    192.168.0.20      -1                255.255.255.255   0
    "https zum Server

  1 0                 tcp               0.0.0.0           0.0.0.0
    0.0.0.0           0.0.0.0           443               -1
    0.0.0.0           -1                255.255.255.255   0
    "https zum Router

rs353jw_ks:ipNatPresetTable>

Der verschobene neue Datensatz ("https zum Server") mit IfIndex "30010001" (hier "Telekom Business") steht jetzt an der ersten Position und kann nun aufgrund der hier angezeigten neuen Reihenfolge wirksam werden.

Beispiel für die Kontrolle der maßgeblichen Reihenfolge im GUI-SNMP-Browser unter "ip", "ipNatPresetTable":

Bild 7: Anzeige der "ipNatPresetTable" im GUI-SNMP-Browser unter "ip"

Aufgrund der auch hier angezeigten neuen Reihenfolge kann der verschobene neue Datensatz ("https zum Server") mit IfIndex "30010001" (hier "Telekom Business") nun wirksam werden.

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 8.3.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27 Patch 6
M: 03/2018
kst