为什么在使用 U-Turn NAT 时使用动态 ip 和端口

网络工程 防火墙 纳特 帕洛阿尔托
2021-07-25 16:11:28

我有一个带有 palo alto 设备的实验室,部署中有主机和服务器。我在一台机器上设置了一个邮件服务器,最后我让所有场景都能正常工作。最有问题的连接是信任区域的 LAN 用户通过 untrust 区域的公共 IP 连接到邮件服务器。邮件服务器也在信任区。

从 palo alto阅读此链接https://live.paloaltonetworks.com/docs/DOC-1678时,我可以解决这种情况我的问题是我没有在 NAT 规则中应用源代码转换。

为了理解 NAT 的工作原理,我的问题是,为什么需要在掉头 NAT 场景中转换源地址?

亲切的问候

1个回答

因为它们在同一个区域中——因此在同一个子网中,必须重写源以使回复通过 NAT 传回,而不是直接回复。

当本地 LAN 客户端尝试连接到公共服务器地址时,流量将流向防火墙。防火墙将重写目的地并将流量转发到本地 LAN 服务器地址。如果防火墙也没有更改源,服务器将看到源在本地局域网上,并且它的回复将使用本地局域网服务器地址直接发送到本地局域网客户端。如果没有它通过防火墙返回,流量对客户端就没有意义(错误的 tcp 序列号和错误的 IP 地址。)

其它你可能感兴趣的问题
上一篇PVC在帧中继中是如何工作的? 下一篇为什么一台服务器要为同一台主机重复ARP?