无论nat怎么做,inspect总是监控nat转换前的地址,因此穿越zone返回的流量,检查inspect信息也是基于nat转换前的。如果class-map不是匹配的protocol(只匹配protocol默认是任何源目的指定协议流量,且不需要事先放行流量,直接监控!),而是用acl匹配特定源和特定协议的流量,那么这个包无论是否做nat改变了源或目的的地址,inspect总是监控了转换前的地址,而且必须先放行acl中相关的源目的地址。涉及放行地址,就需要考虑是放行nat前的地址还是nat后的地址,因为不管nat流量从那个方向进入,都被监控了nat之前的地址,因此放行时,也必须放行nat之前的原始地址,然后inspect监控源地址,最后转换(或者先转换成原地址,再放行,最后监控。)。举一种情况的例子:做基于outside的源地址转换(手动写静态路由,使其能正常工作),假设放行nat后的流量,那么在放行前,就需要先做nat,而inspect在基于outside的源地址转换需要在nat前监控,这就造成了还没有放行就已经被监控,那么它就一定会被放行!因此,放行nat前的原地址是为了保证在放行之后才做监控,这样会对允许和不允许的流量区分控制。因此需要配合inspect的特点,统一放行nat之前的地址比较合理。
ZBFW结合NAT有关监控顺序问题
最新推荐文章于 2019-05-06 10:44:26 发布