top of page

Configuração de NAT e Port Forwarding no Firewall SonicWall para publicação de serviços

  • andreylima6
  • há 21 horas
  • 8 min de leitura
Configuração de NAT e Portwarding


Este artigo descreve como acessar um dispositivo ou servidor de internet por trás do firewall SonicWall. Esse processo também é conhecido como abertura de portas, PAT, NAT ou encaminhamento de portas.Para esse processo, o dispositivo pode ser qualquer um dos seguintes:


  • Servidor Web

  • Servidor FTP

  • Servidor de e-mail

  • Servidor de Terminal

  • DVR (Gravador de Vídeo Digital)

  • PBX

  • Servidor SIP

  • Câmera IP

  • Impressora

  • Servidor de aplicativos

  • Quaisquer funções de servidor personalizadas

  • Consoles de jogos


Causa


Por padrão, o SonicWall bloqueia todo o tráfego de entrada que não faça parte de uma comunicação iniciada em um dispositivo interno, como um dispositivo na rede local (LAN). Isso visa proteger os dispositivos internos contra acessos maliciosos; no entanto, muitas vezes é necessário abrir certas partes de uma rede, como servidores, para o mundo externo.


Para isso, o SonicWall precisa de uma regra de acesso ao firewall para permitir o tráfego da internet pública para a rede interna, bem como uma política de tradução de endereços de rede (NAT) para direcionar o tráfego para o dispositivo correto.


Resolução para SonicOS 7.X


Esta versão inclui mudanças significativas na interface do usuário e muitos novos recursos que a diferenciam do firmware SonicOS 6.5 e versões anteriores. A solução abaixo destina-se a clientes que utilizam o firmware SonicOS 7.X.

 

Abrir portas manualmente/ativar o encaminhamento de portas para permitir o tráfego da Internet para um servidor atrás do SonicWall usando o SonicOS envolve as seguintes etapas:


  1. Criando os objetos de endereço necessários

  2. Criar as políticas NAT apropriadas, que podem incluir NAT de entrada, de saída e de loopback.

  3. Criando as regras de acesso de firewall necessárias.



    Essas etapas também permitirão que você habilite a tradução de endereços de porta (PAT) com ou sem alterar os endereços IP envolvidos.


 DICA:  O Assistente de Servidor Público é uma maneira simples e direta de fornecer acesso público a um servidor interno através do SonicWall. O Assistente de Servidor Público simplificará as três etapas acima, solicitando informações e criando as configurações necessárias automaticamente. Clique em Configuração Rápida no menu de navegação superior. Você pode aprender mais sobre o Assistente de Servidor Público lendo Como abrir portas usando o Assistente de Servidor Público do SonicWall .   


 ATENÇÃO:  O dispositivo de segurança SonicWall é gerenciado por HTTP (porta 80) e HTTPS (porta 443), sendo o gerenciamento HTTPS habilitado por padrão. Se você estiver usando um ou mais endereços IP da WAN para encaminhamento de portas HTTP/HTTPS para um servidor, será necessário alterar a porta de gerenciamento para uma porta não utilizada ou alterar a porta ao acessar o servidor via NAT ou outro método.



O passo a passo a seguir detalha como permitir tráfego HTTPS da Internet para um servidor na LAN. Após a conclusão da configuração, os usuários da Internet podem acessar o servidor por meio do endereço IP público da WAN do SonicWall. Embora os exemplos abaixo mostrem a zona LAN e o HTTPS (porta 443), eles podem ser aplicados a qualquer zona e qualquer porta necessária. Da mesma forma, o endereço IP da WAN pode ser substituído por qualquer IP público roteado para o SonicWall, como um intervalo de IPs públicos fornecido por um provedor de serviços de Internet (ISP).


Criando os objetos de endereço necessários


  1. Faça login na interface gráfica do SonicWall.

  2. Clique em Objeto no menu de navegação superior.  

  3. Clique em "Correspondência de  objetos" | "Endereços"

  4. Clique em  Adicionar e crie dois objetos de endereço: um para o IP público do servidor e outro para o IP privado do servidor.

  5. Clique em Salvar para adicionar o objeto de endereço à tabela de objetos de endereço do SonicWall.  




Criando o objeto de serviço necessário


  1. Clique em Objeto no menu de navegação superior.  

  2. Clique em "Corresponder  objetos" | "Serviços". 

  3. Clique no botão Adicionar  e crie os Objetos de Serviço necessários para as Portas requeridas. 

  4. Certifique-se de conhecer o protocolo correto para o objeto de serviço (TCP, UDP, etc.). Se não tiver certeza de qual protocolo está em uso, realize uma captura de pacotes.

  5. Clique em Salvar para adicionar o Objeto de Serviço à Tabela de Objetos de Serviço do SonicWall.  



Criar as políticas NAT apropriadas, que podem incluir NAT de entrada, de saída e de loopback.


Uma política NAT permite que o SonicOS traduza pacotes de entrada destinados a um endereço IP público para um endereço IP privado e/ou de uma porta específica para outra porta específica. Cada pacote contém informações sobre os endereços IP e portas de origem e destino e, com uma política NAT, o SonicOS pode examinar os pacotes e reescrever esses endereços e portas para o tráfego de entrada e saída.


  1. Clique em Política no menu de navegação superior.  

  2. Regras  e Políticas | Regras NAT

  3. Clique no botão Adicionar na parte inferior da página e uma janela pop-up será exibida. 

  4. Para a política de NAT de entrada , selecione os campos conforme abaixo nas guias Original e Traduzido. Deixe todos os campos na guia Avançado/Ações com os valores padrão. Clique em  Adicionar  para adicionar a política de NAT à tabela de políticas de NAT do SonicWall.




Para a  política de NAT de saída , selecione os campos conforme abaixo nas guias Original e Traduzido. Deixe todos os campos na guia Avançado/Ações com os valores padrão. Clique em  Adicionar  para adicionar a política de NAT à tabela de políticas de NAT do SonicWall.




 NOTA:  Ao criar uma política NAT de entrada, você pode selecionar a  caixa de seleção "Criar uma política reflexiva"  na guia Avançado/Ações . Isso criará automaticamente uma política inversa; no exemplo acima, adicionar uma política reflexiva para a política NAT de entrada também criará a política NAT de saída. Essa opção não está disponível ao editar uma política NAT existente, apenas ao criar uma nova política.



Política de NAT de LoopbackUma Política de NAT de Loopback é necessária quando usuários na LAN/WLAN local precisam acessar um servidor interno por meio de seu IP público/nome DNS público. Essa política fará um "loopback" da solicitação de acesso do usuário, fazendo-a parecer que vem do IP público da WAN e, em seguida, traduzindo para o IP privado do servidor. Sem uma Política de NAT de Loopback, os usuários internos serão forçados a usar o IP privado do servidor para acessá-lo, o que normalmente causará problemas com o DNS.Se você deseja acessar este servidor de outras zonas internas usando o endereço IP público http://1.1.1.1, considere criar uma Política de NAT de Loopback:Na guia Original:


  • Fonte original:  Sub-redes com firewall

  • Destino original:  Exemplo de nome Público

  • Serviço original:  Objeto de serviço de exemplo

  • Interface de entrada:  Qualquer

  • Interface de saída:  Qualquer



Na aba traduzida:


  • Fonte traduzida:  Exemplo de nome público

  • Destino traduzido : Exemplo de nome Privado

  • Serviço de tradução:  Original



 Criar as regras de acesso ao firewall necessárias.


  1. Clique em  Política  no menu de navegação superior.

  2. Regras e Políticas | Regras de Acesso

  3. Selecione o Tipo de Visualização como Matriz e selecione sua Regra de Acesso à Zona WAN apropriada . (Esta será a Zona onde reside o IP privado do servidor.)   

  4. Clique no botão Adicionar na parte inferior da tela e, na janela pop-up, crie a Regra de Acesso necessária configurando os campos conforme mostrado abaixo na guia Origem/Destino. Deixe todas as outras guias com as configurações padrão. 

  5. Clique em Adicionar quando terminar.  



Resolução para SonicOS 6.5


Esta versão inclui mudanças significativas na interface do usuário e muitos novos recursos que a diferenciam do SonicOS 6.2 e versões anteriores do firmware. A solução abaixo destina-se a clientes que utilizam o firmware SonicOS 6.5.


Abrir portas manualmente/ativar o encaminhamento de portas para permitir o tráfego da Internet para um servidor atrás do SonicWall usando o SonicOS envolve as seguintes etapas:


  1. Criando os objetos de endereço necessários

  2. Criar as políticas NAT apropriadas, que podem incluir NAT de entrada, de saída e de loopback.

  3. Criando as regras de acesso de firewall necessárias.



    Essas etapas também permitirão que você habilite a tradução de endereços de porta (PAT) com ou sem alterar os endereços IP envolvidos.


DICA:  O Assistente de Servidor Público é uma maneira simples e direta de fornecer acesso público a um servidor interno através do SonicWall. O Assistente de Servidor Público simplificará as três etapas acima, solicitando informações e criando as configurações necessárias automaticamente. Clique em Configuração Rápida no menu de navegação superior. Você pode aprender mais sobre o Assistente de Servidor Público lendo Como abrir portas usando o Assistente de Servidor Público do SonicWall .


ATENÇÃO:  O dispositivo de segurança SonicWall é gerenciado por HTTP (porta 80) e HTTPS (porta 443), sendo o gerenciamento HTTPS habilitado por padrão. Se você estiver usando um ou mais endereços IP da WAN para encaminhamento de portas HTTP/HTTPS para um servidor, será necessário alterar a porta de gerenciamento para uma porta não utilizada ou alterar a porta ao acessar o servidor via NAT ou outro método.


O passo a passo a seguir detalha como permitir tráfego HTTPS da Internet para um servidor na LAN. Após a conclusão da configuração, os usuários da Internet podem acessar o servidor por meio do endereço IP público da WAN do SonicWall. Embora os exemplos abaixo mostrem a zona LAN e o HTTPS (porta 443), eles podem ser aplicados a qualquer zona e qualquer porta necessária. Da mesma forma, o endereço IP da WAN pode ser substituído por qualquer IP público roteado para o SonicWall, como um intervalo de IPs públicos fornecido por um provedor de serviços de Internet (ISP).


DICA: Se a sua interface de usuário for diferente da captura de tela deste artigo, talvez seja necessário atualizar o firmware para a versão mais recente do seu dispositivo. Para saber mais sobre como atualizar o firmware, consulte o Procedimento para atualizar a imagem do firmware do dispositivo SonicWall UTM com as preferências atuais.


Criando os objetos de endereço necessários


  1. Faça login na interface gráfica do SonicWall.

  2. Clique em Gerenciar no menu de navegação superior.

  3. Clique em Objetos | Endereço de Objetos .

  4. Clique no botão Adicionar um novo objeto de endereço e crie dois objetos de endereço: um para o IP público do servidor e outro para o IP privado do servidor.

  5. Clique em OK para adicionar o objeto de endereço à tabela de objetos de endereço do SonicWall.


Criar as políticas NAT apropriadas, que podem incluir NAT de entrada, de saída e de loopback.


Uma política NAT permite que o SonicOS traduza pacotes de entrada destinados a um endereço IP público para um endereço IP privado e/ou de uma porta específica para outra porta específica. Cada pacote contém informações sobre os endereços IP e portas de origem e destino e, com uma política NAT, o SonicOS pode examinar os pacotes e reescrever esses endereços e portas para o tráfego de entrada e saída.


  1. Clique em Gerenciar no menu de navegação superior.

  2. Regras de clique | Políticas de NAT .

  3. Clique no botão Adicionar uma nova política NAT e uma janela pop-up será exibida.

  4. Clique em Adicionar para adicionar a política NAT à tabela de políticas NAT do SonicWall.


    NOTA: Ao criar uma Política NAT, você pode selecionar a  caixa de seleção "Criar uma política reflexiva"  . Isso criará automaticamente uma política inversa; no exemplo abaixo, adicionar uma política reflexiva para a Política NAT à esquerda também criará a Política NAT à direita. Essa opção não está disponível ao configurar uma Política NAT existente, apenas ao criar uma nova política.


Política de NAT de Loopback:Uma política de NAT de Loopback é necessária quando usuários na LAN/WLAN local precisam acessar um servidor interno por meio de seu IP público/nome DNS público. Essa política redirecionará a solicitação de acesso do usuário como se viesse do IP público da WAN e, em seguida, traduzirá para o IP privado do servidor. Sem uma política de NAT de Loopback, os usuários internos serão forçados a usar o IP privado do servidor para acessá-lo, o que normalmente causará problemas com o DNS.Se você deseja acessar este servidor de outras zonas internas usando o endereço IP público http://1.1.1.1, considere criar uma política de NAT de Loopback.


  1. Fonte original: Sub-redes com firewall

  2. Fonte traduzida:  X1 IP

  3. Destino original:  IP X1

  4. Destino traduzido : Exemplo de nome Privado

  5. Serviço original: HTTPS

  6. Serviço de tradução: Original

  7. Interface de entrada: Qualquer

  8. Interface de saída: Qualquer

  9. Comentário: Política de loopback

  10. Política NAT ativada: Marcada

  11. Criar uma política reflexiva:  Não verificada


 Criar as regras de acesso ao firewall necessárias.


  1. Clique em Gerenciar no menu de navegação superior.

  2. Regras de Clique | Regras de Acesso .

  3. Selecione o Tipo de Visualização como Matriz e selecione sua Regra de Acesso à Zona WAN apropriada . (Esta será a Zona onde reside o IP privado do servidor.)

  4. Clique no botão Adicionar uma nova entrada/Adicionar... e, na janela pop-up, crie a Regra de Acesso necessária configurando os campos conforme mostrado abaixo.

  5. Clique em Adicionar quando terminar.




Comentários


bottom of page