Manchmal ist es nötig die ursprüngliche IP Adrese (Source IP) in eine andere Adresse zu übersetzen. Zum Beispiel dann, wenn Hosts aus dem privaten Netz mit Internet Ressourcen kommunizieren möchten. Manchmal ist es nötig die Absender-IP umzustellen, wenn auf der anderen Seite des VPN dasselbe Netz existiert.
Dynamic IP (DIP) ist ein Pool von Adressen, die genutzt werden, wenn interne Adressen übersetzt werden sollen (NAT-src). Wenn eine Policy eine NAT-src benötigt und auf einen speziellen NAT-Pool verweist, dann wird aus diesem Pool eine Adresse für die NAT genommen.
Der Pool kann sehr klein sein, vielleicht nur eine IP-Adresse, die, wenn man PAT (Port Address Translation) einschaltet, bis zu 64.500 Hosts aus dem privaten Netz bedienen kann. Der Firewall verwaltet eine Session Tabelle und kann die vergebene IP aus dem DIP Pool und dem zugeordneten DIP Pool zu einer existierenden Session zuordnen.
Wenn die Source NAT ohne eine Angabe eines DIP Pools genutzt wird, dann wird immer für die NAT die Adresse des externen Interface genutzt. in diesem Fall ist die PAT automatisch enabled.
Fix Port DIP
Anwendungen, die einen „abgehenden“ nicht geänderten Port verlangen, müssen mit DIP disabled arbeiten, es muss ein Pool mit so vielen IP-Adressen angelegt werden, wie viele Clients von intern nach extern bedient werden sollen, da jeder Client nur auf einem Port und einer IP arbeiten kann. Für diese Fix-Port DIP ordnet er Firewall für ALLE Sessiond der Hosts eine und dieselbe IP, pro Anwendung natürlich mit einem nicht geränderten Source-Port.