Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las reglas DNAT de Azure Firewall (traducción de direcciones de red de destino) se usan para filtrar y encaminar el tráfico entrante. Permiten traducir la dirección IP de destino pública y el puerto del tráfico entrante a una dirección IP privada y un puerto dentro de la red. Esto resulta útil cuando desea exponer un servicio que se ejecuta en una dirección IP privada (como un servidor web o un punto de conexión SSH) a Internet u otra red.
Una regla DNAT especifica:
- Origen: dirección IP de origen o grupo IP desde el que se origina el tráfico.
- Destino: la dirección IP de destino de la instancia de Azure Firewall.
- Protocolo: protocolo usado para el tráfico (TCP o UDP).
- Puerto de destino: puerto de la instancia de Azure Firewall que recibe el tráfico.
- Dirección traducida: dirección IP privada o FQDN a la que se debe enrutar el tráfico.
- Puerto traducido: puerto en la dirección traducida a la que se debe dirigir el tráfico.
Cuando un paquete coincide con la regla DNAT, Azure Firewall modifica la dirección IP y el puerto de destino del paquete según la regla antes de reenviarlo al servidor back-end especificado.
Azure Firewall admite el filtrado de FQDN en reglas DNAT, lo que permite especificar un nombre de dominio completo (FQDN) como destino para la traducción en lugar de una dirección IP estática. Esto permite configuraciones dinámicas de back-end y simplifica la administración en escenarios en los que la dirección IP del servidor back-end puede cambiar con frecuencia.
Prerrequisitos
- Una suscripción de Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
- Una instancia de Azure Firewall.
- Una directiva de Azure Firewall.
Creación de una regla DNAT
En Azure Portal, vaya a la instancia de Azure Firewall.
En el panel izquierdo, seleccione Reglas.
Seleccione Reglas DNAT.
Seleccione + Agregar colección de reglas DNAT.
En el panel Agregar una colección de reglas , proporcione la siguiente información:
- Nombre: escriba un nombre para la colección de reglas DNAT.
- Prioridad: especifique una prioridad para la colección de reglas. Los números más bajos indican una mayor prioridad. El intervalo es de 100 a 65000.
- Acción: Traducción de direcciones de red de destino (DNAT) (valor predeterminado).
- Grupo de recopilación de reglas: este es el nombre del grupo de recopilación de reglas que contiene la colección de reglas DNAT. Puede seleccionar un grupo predeterminado o uno que creó anteriormente.
-
Reglas:
- Nombre: escriba un nombre para la regla DNAT.
- Tipo de origen: seleccione Dirección IP o Grupo IP.
- Origen: escriba la dirección IP de origen o seleccione un grupo IP.
- Protocolo: seleccione el protocolo (TCP o UDP).
- Puertos de destino: escriba el puerto de destino o el intervalo de puertos (por ejemplo: puerto único 80, intervalo de puertos 80-100 o varios puertos 80 443).
- Destino (dirección IP del firewall): escriba la dirección IP de destino de la instancia de Azure Firewall.
- Tipo traducido: seleccione Dirección IP o FQDN.
- Dirección traducida o FQDN: escriba la dirección IP traducida o el FQDN.
- Puerto traducido: escriba el puerto traducido.
Repita el paso 5 para las reglas adicionales según sea necesario.
Seleccione Agregar para crear la colección de reglas DNAT.
Supervisión y validación de reglas DNAT
Una vez que haya creado reglas DNAT, puede supervisarlas y solucionarlos mediante el registro AZFWNatRule . Este registro proporciona información detallada sobre las reglas DNAT aplicadas al tráfico entrante, entre las que se incluyen:
- Timestamp: la hora exacta en que se produjo el flujo de tráfico.
- Protocolo: protocolo usado para la comunicación (por ejemplo, TCP o UDP).
- IP de origen y puerto: información sobre el origen del tráfico.
- Dirección IP y puerto de destino: los detalles de destino originales antes de la traducción.
- Dirección IP y puerto traducidos: la dirección IP resuelta (si usa FQDN) y el puerto de destino después de la traducción.
Es importante tener en cuenta lo siguiente al analizar el registro de AZFWNatRule :
- Campo traducido: para las reglas DNAT mediante el filtrado de FQDN, los registros muestran la dirección IP resuelta en el campo traducido en lugar del FQDN.
- Zonas DNS privadas: solo se admiten en redes virtuales (VNet). Esta característica no está disponible para las SKU de VIRTUAL WAN.
- Varias direcciones IP en la resolución DNS: Si un FQDN se resuelve en varias direcciones IP en una zona DNS privada o en servidores DNS personalizados, el proxy DNS de Azure Firewall seleccionará la primera dirección IP de la lista. Este comportamiento es por diseño.
-
Errores de resolución de FQDN:
- Si Azure Firewall no puede resolver un FQDN, la regla DNAT no coincide, por lo que el tráfico no se procesa.
- Estos errores se registran en los registros de AZFWInternalFQDNResolutionFailure solo si el proxy DNS está habilitado.
- Sin el proxy DNS habilitado, los errores de resolución no se registran.
Consideraciones clave
Las consideraciones siguientes son importantes al usar reglas DNAT con filtrado de FQDN:
- Zonas DNS privadas: solo se admite dentro de la red virtual y no con Azure Virtual WAN.
- Varias direcciones IP en resolución DNS: el proxy DNS de Azure Firewall siempre selecciona la primera dirección IP de la lista resuelta (zona DNS privada o servidor DNS personalizado). Este es un comportamiento esperado.
El análisis de estos registros puede ayudar a diagnosticar problemas de conectividad y asegurarse de que el tráfico se enruta correctamente al back-end previsto.
Escenarios de DNAT para IP privada
En escenarios avanzados que implican redes superpuestas o acceso a redes no enrutables, puede usar la funcionalidad de DNAT de IP privada del firewall de Azure. Esta característica permite:
- Control de escenarios de red superpuestos en los que varias redes comparten el mismo espacio de direcciones IP
- Proporcionar acceso a los recursos en redes no enrutables
- Uso de la dirección IP privada del firewall para DNAT en lugar de direcciones IP públicas
Para obtener información sobre cómo configurar DNAT de IP privada para estos escenarios, consulte Implementación de DNAT de IP privada de Azure Firewall para redes superpuestas y no enrutables.
Nota:
EL DNAT de IP privada solo está disponible en las SKU Estándar y Premium de Azure Firewall. La SKU básica no admite esta característica.
Pasos siguientes
- Aprenda a supervisar los registros y las métricas de Azure Firewall mediante Azure Monitor.
- Implementación de DNAT de IP privada de Azure Firewall para redes superpuestas y no enrutables