En la configuración dinámica NAT predeterminada, el Firebox cambia la dirección IP de origen para el tráfico saliente de una interfaz externa a la dirección IP principal de la interfaz externa que el tráfico abandona. Se puede configurar opcionalmente una NAT dinámica para usar una dirección IP de origen diferente. Puede configurar la dirección IP de origen de NAT dinámica en una regla de NAT de red o en la configuración NAT para una política. Cuando selecciona una dirección IP de origen, la NAT dinámica usa la dirección IP de origen especificada para cualquier tráfico que coincide con la regla o política NAT dinámica.
Ya sea que especifique la dirección IP de origen en una regla de red NAT dinámica o en una política, es importante que la dirección IP de origen se encuentre en la misma subred que la dirección IP principal o secundaria de la interfaz desde la cual se envía el tráfico. En Fireware v12.2 o superior, también puede especificar las direcciones IP que se encuentran en la misma subred que la dirección IP primaria o secundaria de la interfaz de bucle invertido. También es importante asegurarse que el tráfico al que se aplica la regla salga a través de una sola interfaz.
Si la dirección IP de origen de NAT dinámica no está en la misma subred que la dirección IP primaria o secundaria de la interfaz saliente para ese tráfico, o la dirección IP primaria o secundaria de la interfaz de bucle invertido en Fireware v12.2 o superior, el Firebox no cambia la dirección IP de origen para cada paquete a la dirección IP de origen especificada en la regla de NAT dinámica. En su lugar, cambia la dirección IP de origen a la dirección IP principal de la interfaz desde la cual el paquete es enviado.
Configurar la Dirección IP de Origen de NAT Dinámica en una Regla de Red de NAT Dinámica
Si desea configurar la dirección IP de origen para el tráfico que coincide con una regla de NAT dinámica, sin importar la política que se aplica al tráfico, agregue una regla de red NAT dinámica que especifique la dirección IP de origen. La dirección IP de origen que especifica debe encontrarse en la misma subred que la dirección IP principal o secundaria que la interfaz desde la que sale el tráfico. En Fireware v12.2 o superior, también puede especificar las direcciones IP que se encuentran en la misma subred que la dirección IP primaria o secundaria de la interfaz de bucle invertido.
Si la ubicación A en la regla de red NAT dinámica especifica un alias, como Cualquiera-Externa, que incluya más de una interfaz, la dirección IP de origen se usa solo para el tráfico que sale de una interfaz que cuenta con una dirección IP en la misma subred que la dirección IP de origen.
Por ejemplo, si:
- Su Firebox cuenta con dos interfaces externas, Eth0 (203.0.113.2) y Eth1 (192.0.2.2).
- Puede crear una regla de NAT dinámica para todo el tráfico a Cualquiera-Externa.
- En la regla de NAT dinámica, configura una dirección IP de origen a 203.0.113.80.
El resultado es:
- Para el tráfico saliente de Eth0, la dirección IP de origen es la dirección IP en la regla de NAT dinámica, 203.0.113.80.
- Para el tráfico saliente de Eth1, la dirección IP de origen es la dirección IP de la interfaz Eth1, 192.0.2.2.
Para más información, consulte Agregar reglas NAT de red dinámica.
Configurar la Dirección IP de Origen en NAT Dinámica en una Política
Si desea establecer la dirección IP de origen para el tráfico que maneja una política específica, configure la dirección IP de origen en los ajustes de red de dicha política. La dirección IP de origen que especifique debe estar en la misma subred que la dirección IP principal o secundaria de la interfaz que especificó para el tráfico saliente en la política. En Fireware v12.2 o superior, también puede especificar las direcciones IP que se encuentran en la misma subred que la dirección IP primaria o secundaria de la interfaz de bucle invertido.
Recomendamos que no use la opción Configurar IP de origen en una política si tiene más de una interfaz externa configurada en su Firebox. Si usa Configurar opción IP de origen en una política, no habilite SD-WAN o enrutamiento basado en política con conmutación por error en la configuración de la política.
Para más información, consulte Configurar NAT Dinámica Basada en Políticas.