1、no-pat
我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之后,才会产生相应的server-map表,也正是因为这样我们在no-pat的时候其对应的安全策略放行的是内网主机的IP地址。
2、NAT server
在nat server的情况下默认会生成正反两条server-map,且不需要有首包就存在,一条帮助外网主机进行目的地址的转换,另一条是帮助内网服务器去上网。虽然NAT server下的server-map是常驻的,但是内网服务器若想与外网通信,其安全策略放行的依然还是内网服务器的IP,按理来说内网服务器应该首先命中server-map表并进行地址转换了之后再匹配路由表和安全策略,但是经过测试其并不会生效,还是需要放行内网的服务器IP地址才能进行通信。而外网主机如若想要与内网的服务器进行通信,我们的安全策略就必须放行内网的服务器IP,因为外网IP进入防火墙后会进行地址的转换,然后进行路由表的匹配,安全策略的匹配,所以我们的目的地址应该放行内网的服务器IP地址。
总结:
其他的NAT的情况其实都大同小异,但是总结上述的情况,我们可以得出一个结论,就是在开启了相关NAT功能的前提下,如果内网的主机想要与外网的主机进行通信,那么防火墙的安全策略就必须放行内网主机的IP,如果外网主机想要与内网主机进行通信就必须放行内网的主机IP