Se aplica a: Fireboxes administrados en la nube
De forma predeterminada, un Firebox administrado en la nube cambia la dirección IP de origen para el tráfico saliente a la dirección IP principal de la red externa saliente del tráfico. Opcionalmente, puede configurar una regla de NAT dinámica o una política de firewall para establecer una dirección IP de origen diferente para el tráfico que envía a través de una red específica. Cuando selecciona una dirección IP de origen, la NAT dinámica usa la dirección IP de origen especificada para cualquier tráfico que coincide con la regla o política NAT dinámica.
Ya sea que especifique la dirección IP de origen en una regla de NAT dinámica o en una política de firewall, es importante que la dirección IP de origen se encuentre en la misma subred que la dirección IP principal o secundaria de la red desde la cual se envía el tráfico. También es importante asegurarse que el tráfico al que se aplica la regla salga a través de una sola red.
Si la dirección IP de origen de NAT dinámica no está en la misma subred que la dirección IP principal o secundaria de la red saliente para ese tráfico, el Firebox no cambia la dirección IP de origen para cada paquete a la dirección IP de origen especificada en la regla de NAT dinámica. En su lugar, cambia la dirección IP de origen a la dirección IP principal de la red desde la cual el paquete es enviado.
Establecer la Dirección IP de Origen en una Regla de NAT Dinámica
Si desea establecer la dirección IP de origen para el tráfico que coincide con una regla de NAT dinámica, independientemente de las políticas que se apliquen al tráfico, agregue una regla de NAT dinámica que especifique la dirección de IP de origen. La dirección IP de origen que especifica debe encontrarse en la misma subred que la dirección IP principal o secundaria de la red desde la que sale el tráfico.
Si la ubicación A en la regla de NAT dinámica de red especifica un alias, como Cualquiera-Externa, que incluya más de una interfaz, la dirección IP de origen se usa solo para el tráfico que sale de una interfaz que cuenta con una dirección IP en la misma subred que la dirección IP de origen.
Por ejemplo, si:
- Su Firebox tiene dos redes externas:
- Ext1, dirección IP 203.0.113.2
- Ext2, dirección IP 192.0.2.2
- Puede crear una regla de NAT dinámica para todo el tráfico a Cualquiera-Externa.
- En la regla de NAT dinámica, usted establece una dirección IP de origen 203.0.113.80.
El resultado es:
- Para el tráfico saliente de Ext1, la dirección IP de origen es la dirección IP en la regla de NAT dinámica, 203.0.113.80.
- Para el tráfico saliente de Ext2, la dirección IP de origen es la dirección IP de la interfaz Eth1, 192.0.2.2.
Para obtener más información, consulte Configurar NAT Dinámica.
Configurar la Dirección IP de Origen en una Política de Firewall
Si desea configurar la dirección IP de origen para el tráfico manejado por una política de firewall específica, configure la dirección IP de origen en los ajustes de red de la política. Esta dirección de origen debe estar en la misma subred que la dirección IP principal o secundaria de la interfaz que especificó para el tráfico de saliente.
Recomendamos que no utilice la opción Establecer IP de origen en los ajustes de NAT de una política de Firewall si tiene más de una red externa configurada en su Firebox. Si usa la opción Establecer IP de origen en una política, no habilite SD-WAN con conmutación por error en los ajustes de la política.
Para obtener más información, consulte Configurar NAT Dinámica en una Política de Firewall.