traceroute 通过两次 NAT'ing

网络工程 防火墙 纳特 icmp 跟踪路由
2022-02-06 07:52:30

有趣的跟踪路由我正在通过防火墙,我们正在对源和目标进行 NAT。我想知道是否有可能让它工作。我们正在尝试设置一个跟踪路由监视器来跟踪防火墙远端的路由。我们正在使用 Nagios 报告最后一跳是否更改为让我们了解任何波动。我有 Nagios 脚本在内部工作,但是当我跨到防火墙远端的主机时。我从 trace route 命令收到了奇怪的信息。我已经尝试过 ICMP 和 TCP 跟踪路由。

这就是我得到的。

traceroute to 10.255.1.166 (10.255.1.166), 30 hops max, 60 byte packets
 1  10.1.0.2  0.532 ms  0.753 ms 10.1.0.3  0.619 ms
 2  10.54.4.13  1.844 ms 10.253.4.23  1.994 ms  2.048 ms
 3  10.67.29.3  1.993 ms  1.988 ms  1.968 ms
 4  10.255.1.166  2.167 ms  2.178 ms  2.172 ms
 5  10.255.1.166  2.754 ms  2.257 ms  2.761 ms
 6  10.255.1.166  2.460 ms  2.749 ms  2.839 ms
 7  10.255.1.166  3.105 ms  2.923 ms  2.979 ms
 8  10.255.1.166  3.420 ms  3.508 ms  3.398 ms
 9  10.255.1.166  3.092 ms  2.997 ms  2.936 ms
  • 这是一个 IP 为 10.1.0.55 的 linux 盒子,我们在遍历时将其 Source NAT 到 10.99.99.55
  • 10.255.1.166 是防火墙远端主机的 NAT,转换为真实的 10.21.3.4
  • 防火墙是帕洛阿尔托运行代码 v6.1
1个回答

我猜 NAT 故意更改来自 NAT 后面网络的 ICMP 错误的源 IP,以减少它们被入口过滤丢弃的机会。

我不知道您正在使用的 NAT 设备的细节,因此我不知道此行为是否可配置。

其它你可能感兴趣的问题
上一篇OSI 模型,阐明 SAP 的作用 下一篇从 Open Flow 交换机获取丢包