目录
同时转换报文的源信息和目的信息,不是单独的功能,而是源NAT和目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。
主要用在两个场景
外网用户访问内网服务器
避免在内部服务器上设置网关,简化配置。
服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果源地址依然是公网地址,那么在回包时服务器不知道回给谁,有网关的情况下一定会回给网关,但是没有网关就不知道回给谁,所以需要将公网来的数据包的源地址转换成私网同网段地址,服务器在回包时就会回给这个地址,这个地址本身是虚拟的,没有实际对应的设备,只是存在于fw的私网地址池中,那么服务器回包时,对于同网段地址,就可以通过arp请求去得到mac地址,这个arp请求的回应一定是fw,mac地址也是fw的私网侧接口mac地址,所以fw一定要和该内网服务器公网接口同网段。
具体过程
- fw对匹配双向nat策略的报文进行地址转换
- fw从目的nat地址池中选择一个私网ip替换报文目的地址,使用新的端口号替换报文的目的端口号。
- 判断是否满足安全策略
- 从源nat地址池中选择一个私网ip地址替换报文源地址,使用新的端口号替换报文源端口号,建立会话表,转发报文到私网
- Fw收到私网回包后,查找会话表,还原源目ip地址和端口号,转发报文到公网。
实验一:公网用户通过双向NAT访问内部服务器(源NAT+静态目的NAT)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。同时,为了简化内部服务器的回程路由配置,通过配置源NAT策略,使内部服务器缺省将回应报文发给FW。网络环境如图所示,其中Router是ISP提供的接入网关。
注意server都不配置网关
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
