На шлюзе безопасности NAT (Network Address Translation) осуществляется средствами ОС, а именно при помощи утилиты iptables. Описание iptables можно посмотреть на сайте проекта Netfilter.
Обработка трафика шлюзом безопасности осуществляется в последовательности аналогичной Cisco IOS. Исходящие пакеты сначала обрабатываются iptables, а затем VPN-продуктом в соответствии с политикой безопасности. Входящие пакеты сначала обрабатываются VPN-продуктом, а затем iptables. В алгоритме возможны изменения при включении в iptables механизмов обработки трафика помимо PREROUTING, FORWARDING и POSTROUTING.
Использование NAT на шлюзе безопасности позволяет производить трансляцию следующих видов:
· Статический NAT – выполняется взаимно-однозначное отображение внутренних IP-адресов во внешние. Этот вид трансляции может использоваться при настройке IPsec-туннеля между подсетями с одинаковым адресным пространством.
· Динамический NAT – в этом случае происходит динамическая трансляция внутренних локальных IP-адресов в пул глобальных IP-адресов или в адрес внешнего интерфейса шлюза. Этот вид трансляции также может использоваться для IPsec-трафика между подсетями, а также для открытого доступа к интернет-серверам.
· Port Address Translation (PAT) или Network Address Port Translation (NAPT) – адреса назначения в пакетах, приходящих на адрес внешнего интерфейса шлюза, подменяются на локальные в зависимости от порта TCP, что позволяет организовать доступ к нескольким серверам в локальной сети. Этот сценарий можно использовать как совместно с IPsec, так и для открытого трафика.
Во всех приведенных трансляциях поддерживается работа по протоколу FTP.