7.2.1. Правила NAT

Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.

Примечание

Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Чтобы создать правило NAT, необходимо нажать на кнопку Добавить в разделе Политики сети--> NAT и маршрутизация и указать необходимые параметры.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило

Название

Название правила

Комментарий

Описание правила

Тип

Выбрать NAT

SNAT IP (внешний адрес)

Явно указывает IP-адрес, на который будет заменен адрес источника при наттировании пакетов. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. Допускается указание диапазона IP-адресов, например:

192.168.10.10-192.168.10.20

В этом случае UserGate будет использовать все указанные адреса при Source NAT.

Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана.

Журналирование

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP, HTTPS или другой.

Примечание

Рекомендуется создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.