Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Siemens Anleitungen
  4. Industrial Ethernet Komponenten
  5. SIMATIC NET SCALANCE S615
  6. Projektierungshandbuch

Nat-Umsetzung Und Firewall-Regeln - Siemens SCALANCE S615 Projektierungshandbuch

Vorschau ausblenden Andere Handbücher für SCALANCE S615:
Inhaltsverzeichnis

Werbung

Technische Grundlagen
3.5 Security-Funktionen

NAT-Umsetzung und Firewall-Regeln

Beispiel für NAT-Umsetzungen
Typ
Quell-
Schnitt-
stelle
① Quelle
vlan1
(intern)
Die Regel gilt für Pakete, die von vlan1 (intern) nach vlan2 (extern) gesendet werden. Bei den Paketen, die an vlan1
ankommen, wird geprüft, ob die Regel zutrifft.
Wenn die Quell-IP-Adresse im Subnetz des Absenders (Quell-IP-Subnetz) und die Ziel-IP-Adresse im Subnetz des Empfän-
gers (Quell-IP-Subnetz) liegen, wird die Quell-IP-Adresse durch die passende IP-Adresse aus dem "Quell-IP-
Subnetzumsetzung" ersetzt. Der Subnetzanteil der Quell-IP-Adresse wird geändert und der Hostanteil bleibt unverän-
dert.
Ein Paket z. B. mit der Quell-IP-Adresse 192.168.1.102 wird zu 10.100.1.102 geändert. Für die Geräte, die an vlan2
angeschlossen sind, sieht es so aus, als ob die Pakete aus dem IP-Subnetz 10.100.1.0/24 gesendet werden. Damit lassen
sich z. B. Überschneidungen von IP-Subnetzen auflösen. Die Regel ist nur für die Senderichtung festzulegen. Die Rück-
übersetzung erfolgt implizit. Wenn die Regel nicht zutrifft, werden die Pakete ohne Umsetzung weitergeleitet.
② Ziel
vlan2
(extern)
Die Regel gilt für Pakete, die von vlan2 (extern) nach vlan1 (intern) gesendet werden. Bei den Paketen, die an vlan2
ankommen, wird geprüft, ob die Regel zutrifft.
Wenn die Quell-IP-Adresse im Subnetz des Absenders Quell-IP-Subnetz) und die Ziel-IP-Adresse im Subnetz des Empfän-
gers (Quell-IP-Subnetz) liegen, wird die Quell-IP-Adresse durch die passende IP-Adresse aus dem "Ziel-IP-
Subnetzumsetzung" ersetzt.
Ein Paket z. B. mit der Quell-IP-Adresse 10.10.10.102 wird zu 192.168.1.102 geändert. Die an vlan1 angeschlossenen
Geräte können mit den Geräten kommunizieren, die an vlan2 angeschlossen sind. Vorausgesetzt, die entsprechende
Firewallregel ist gesetzt.
Die an vlan2 angeschlossenen Geräte müssen die am vlan1 angeschlossenen Geräte mit der virtuellen IP-Adresse aus
dem Subnetz 10.100.1.0 adressieren.
Firewall-Regeln für die NAT-Regeln ① und ②
Beispiel 1:
Diese IP-Regeln erlauben für die angegebene Richtung den IP-Datenverkehr für alle Geräte.
NAT-Regel
Ak-
Von Nac
tio
n
Ac-
vlan
cep
1
t
(in-
tern
)
Ac-
vlan
cep
2
t
(ex-
tern
)
Beispiel 2:
48
Ziel-
Quell-IP-
Schnittstelle
Subnetz
vlan2
192.168.1.
0/24
(extern)
vlan1
10.10.10.0
/24
(intern)
IP-Regeln
Quelle (Bereich) Ziel (Bereich)
h
vlan
192.168.1.0/24
2
(Quell-IP-
(ex-
Subnetz)
tern)
vlan
192.168.1.0/24
1
(Ziel-IP-
(in-
Subnetzumset-
tern)
zung)
NAT-Regel
Quell-IP-
Subnetzumsetzung
10.100.1.0/24
-
Die
nst
10.10.10.0/24
all
(Ziel-IP-Subnetz)
10.100.1.0/24
all
(Ziel-IP-Subnetz)
Projektierungshandbuch, 07/2020, C79000-G8900-C388-09
Ziel-IP-
Ziel-IP-
Subnetz
Subnetzumsetzung
10.10.10.0/24
-
10.100.1.0/24
192.168.1.0/24
Beschreibung
Alle Pakete, die von vlan1 (intern) nach
vlan2 (extern) gesendet werden, werden
durchgelassen.
Diese IP-Paketfilter-Regel gilt für die an
vlan1 angeschlossenen Geräte sind.
Alle Pakete, die von vlan2 (extern) nach
vlan1 (intern) gesendet werden, werden
durchgelassen.
SCALANCE S615 Web Based Management
Quicklinks anzeigen

Quicklinks ausblenden:

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Siemens SCALANCE S615

Verwandte Inhalte für Siemens SCALANCE S615

Inhaltsverzeichnis