DotW: U- NAT Turn-Problem
Resolution
Palo Alto Networks Support-Ingenieure erhalten regelmäßig Fragen zu NAT und etwas namens Turn U- NAT .
NAT ist Network Address Translation, und es wird verwendet, um zu helfen, ein Private IP ( RFC 1918) in eine Öffentlichkeit für den Datenschutz zu IP übersetzen, weil es
versteckt sich hinter einer anderen IP , und die Tatsache, dass eine private IP Adresse nicht im Internet routable ist. Dies wird als Quelle NAT oder Ausblenden NAT bezeichnet.
Wir haben auch Destination NAT , die es dem firewall erlaubt, sein Unvertrauen IP (oder ein anderes ) zu IP bewerben, um dann in einen internen Host übersetzt zu werden.
oder Web-Server.
U-Turn NAT bezieht sich auf den logischen Pfad, den der Datenverkehr beim Zugriff auf eine interne Ressource zu bewegen scheint, wenn die externe Adresse aufgelöst wird. U- Wird NAT turn häufig in einem Netzwerk verwendet, in dem interne Benutzer über die externe öffentliche Adresse des Servers auf einen internen Server zugreifen DMZ IP müssen.
Satish hat kürzlich über ein NAT Problem gepostet, das er kürzlich in einer Diskussion erlebte.
Satish hatte ein Problem mit NAT dem könnte mit der Verwendung von Turn gelöst U- NAT werden.
Weitere Infos
Sehen wir uns das folgende Layout an, wenn wir über NAT " und U- "Drehen" NAT sprechen.
3 Zonen:
Treuhand Zone-E1/4 192.168.1.4/24
DMS Zone - e1/13 10.1.1.1/24
Untrust Zone-E1/3 203.0.113.100/24
Quelle NAT
Um den Kunden im internen Netzwerk den Zugriff auf Ressourcen im Internet zu ermöglichen, ist das interne 192.168.1.0
Adressen müssen an öffentlich routinemäßige Adressen übersetzt werden. In diesem Fall werden wir die Quelle konfigurieren
NAT, mit der Egress-Schnittstellenadresse 203.0.113.100, als Quelladresse in allen Paketen, die die
firewall aus der internen Zone.
Ziel NAT
So aktivieren Sie den Webserver, der sowohl über eine private Adresse im Netzwerk als auch IP DMZ über eine öffentlich zugängliche
Adresse für den Zugriff durch externe Benutzer – um sowohl Anfragen zu senden als auch zu empfangen, muss der firewall
eingehende Pakete von der öffentlichen IP Adresse an die private Adresse und die IP ausgehenden Pakete aus dem
Privatadresse IP an die öffentliche IP Adresse. Auf der firewall können Sie dies mit einem einzigen
bidirektionale statische Quelle NAT policy .
U-drehen NAT
Damit Clients im internen Netzwerk auf den öffentlichen Webserver in der Zone zugreifen DMZ können, müssen wir
Konfigurieren sie eine NAT Regel, die das Paket aus dem externen Netzwerk umleitet, wobei die ursprüngliche Routingtabelle
Lookup wird bestimmen, dass es auf der Grundlage der Zieladresse von 203.0.113.11 innerhalb des Pakets gehen soll, um
die tatsächliche Adresse des Webservers im DMZ Netzwerk von 10.1.1.11. Dazu müssen Sie eine NAT
Regel aus der Treuhand Zone (wo sich die Quelladresse im Paket befindet) in die unvertrauens Zone (wo das Original
Zieladresse ist), um die Zieladresse in eine Adresse in der Zone zu DMZ übersetzen.
Sie benötigen auch eine Regel, die auch Datenverkehr von der Vertrauensstellung zum DMZ Webserver in
Frage.
Weitere Informationen finden Sie in diesem Dokument:
Wir freuen uns immer über Kommentare und Fragen im Kommentarbereich.
Danke fürs Lesen,
Joe Delio