Connection NAT State

In der Firewall (Filter) gibt es unter „General“ die Option Connection NAT State mit den Möglichkeiten srcnat und dstnat:

Mit diesen Optionen können IP-Pakete die den entsprechenden Flag, DNAT / SNAT haben, gefiltert werden.

 

---

Destination-NAT

 

Dabei ist zu beachten, damit eine Firewall/Filter-Regel einen DNAT-Flag matched, braucht es KEINE vorgelagerte Firewall/Filter-Regel.
Da das DST-NAT (grün) auf der Prerouting-Chain im Paketfluss VOR den Firewall/Filter-Sektionen (blau) liegt:

 

Eine vorhandene DNAT-Regel reicht also um die Flag zu setzen und die Regel in der Filter-Sektion machten zu lassen.

 

---

Source-NAT

 

Anders sieht es beim SNAT aus. Hier liegt das SRC-NAT (rot) auf der Postrouting-Chain, welche NACH den Firewall/Filter-Sektionen (blau) liegt:

 

Damit eine Connection NAT State srcnat-Regel matched, muss die SNAT-Flag gesetzt sein. Dafür wiederum muss das Paket erstmalig über eine weitere Firewall/Filter-Regel zugelassen sein (sonst erreicht das Paket nie die Postrouting-Chain, wo die SNAT-Flag gesetzt wird).

 

---

Zusammenfassung

Man kann das Ganze verifizieren indem man:

• Firewall/Filter: LAN zu WAN = accept
• Firewall/NAT: SNAT LAN zu WAN
• Firewall/Filter: Connection NAT State srcnat + Quell-IP aus LAN = drop (hierarchisch über jeder Accept-Rule)

Damit ist initial die Verbindung vom LAN ins WAN erlaubt, SNAT wird angewendet. Das Antwort-Paket erreicht den initialen Host wieder.
Ab dem 2. Paket (hier matched nun die SNAT-Flag der Connection, ausgelöst durch das initiale Paket), wird das ausgehende Paket verworfen:

Wie man sieht, das erste Paket kommt durch, ab dem 2. greift die Connection NAT State Rule.

 

Connection NAT State DNAT: benötigt KEINE Firewall/Filter-Regel

Connection NAT State SNAT: benötigt zwingend eine Firewall/Filter-Regel