O firewall do ponto de verificação tem dois modos NAT: NAT estático (IP interno para IP externo de 1 para 1) e Hide NAT, que é chamado de "sobrecarga" no Cisco e assim por diante.
Não está sendo dito claramente, mas parece que o NAT estático não altera nenhum número de porta, apenas IPs.
O Hide NAT, por outro lado, altera a porta de origem no pacote de saída para algum aleatório "atribuído dinamicamente" e, em seguida, instala uma regra na tabela que permite a tradução inversa de pacotes. Esta regra é removida no final da conexão clara (TCP FIN, RST) ou no tempo limite. Isso é basicamente o que todos os dispositivos atuais com capacidade NAT sempre fazem.
Eu tenho apenas um endereço IP externo, portanto, é necessário usar a variante Ocultar NAT. No entanto, eu quero aumentá-lo um pouco, já que tenho um host muito especial dentro dele, que executa um serviço muito especial, que não gosta particularmente de ter seu número de porta de origem alterado e selecionado aleatoriamente. Eu preciso ter um padrão Hide NAT, que está usando para "alocação dinâmica" todas as portas, exceto uma (por exemplo, não traduzir nada para UDP 33333), e os pacotes deste serviço específico desta porta em particular devem ser sempre e somente traduzidos para este número de porta.
No Linux, faço isso facilmente com estas regras:
iptables -t nat -s MY-SPECIAL-HOST -p udp --sport MY-SPECIAL-SERVICE-PORT -j SNAT --to-source MY-WHITE-IP:MY-SPECIAL-SERVICE-PORT
iptables -t nat -s MY-LOCAL-NETWORK -p udp -j SNAT --to-source MY-WHITE-IP:10000-[MY-SPECIAL-SERVICE-PORT - 1]
iptables -t nat -s MY-LOCAL-NETWORK -j SNAT --to-source MY-WHITE-IP
(Sei que limito esse número de portas para conversações UDP de saída, isso não é um problema, já que a porta de serviço real está em algum lugar no final do intervalo.)
Como conseguir o mesmo no Checkpoint? Eu tenho o GAIA R77.10 ClusterXL com dois membros, se isso for necessário.
Tags firewall nat checkpoint