DotW: U- NAT Turn-Problem

DotW: U- NAT Turn-Problem

87626
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 04:37 AM


Resolution


 

53115-DOTW. png

 

Palo Alto Networks Support-Ingenieure erhalten regelmäßig Fragen zu NAT und etwas namens Turn U- NAT .

 

NAT ist Network Address Translation, und es wird verwendet, um zu helfen, ein Private IP ( RFC 1918) in eine Öffentlichkeit für den Datenschutz zu IP übersetzen, weil es

versteckt sich hinter einer anderen IP , und die Tatsache, dass eine private IP Adresse nicht im Internet routable ist. Dies wird als Quelle NAT oder Ausblenden NAT bezeichnet.

Wir haben auch Destination NAT , die es dem firewall erlaubt, sein Unvertrauen IP (oder ein anderes ) zu IP bewerben, um dann in einen internen Host übersetzt zu werden.

oder Web-Server.

 

U-Turn NAT bezieht sich auf den logischen Pfad, den der Datenverkehr beim Zugriff auf eine interne Ressource zu bewegen scheint, wenn die externe Adresse aufgelöst wird. U- Wird NAT turn häufig in einem Netzwerk verwendet, in dem interne Benutzer über die externe öffentliche Adresse des Servers auf einen internen Server zugreifen DMZ IP müssen.

 

Satish hat kürzlich über ein NAT Problem gepostet, das er kürzlich in einer Diskussion erlebte.

NAT Problem

53115_dotw-7-13-15 -1. png

 

Satish hatte ein Problem mit NAT dem könnte mit der Verwendung von Turn gelöst U- NAT werden.

 

Weitere Infos

Sehen wir uns das folgende Layout an, wenn wir über NAT " und U- "Drehen" NAT sprechen.

3 Zonen:

Treuhand Zone-E1/4 192.168.1.4/24

DMS Zone - e1/13 10.1.1.1/24

Untrust Zone-E1/3 203.0.113.100/24

 

NAT53115_U-Turn-.png

 

Quelle NAT

Um den Kunden im internen Netzwerk den Zugriff auf Ressourcen im Internet zu ermöglichen, ist das interne 192.168.1.0

Adressen müssen an öffentlich routinemäßige Adressen übersetzt werden. In diesem Fall werden wir die Quelle konfigurieren

NAT, mit der Egress-Schnittstellenadresse 203.0.113.100, als Quelladresse in allen Paketen, die die

firewall aus der internen Zone.

 

Ziel NAT

So aktivieren Sie den Webserver, der sowohl über eine private Adresse im Netzwerk als auch IP DMZ über eine öffentlich zugängliche

Adresse für den Zugriff durch externe Benutzer – um sowohl Anfragen zu senden als auch zu empfangen, muss der firewall

eingehende Pakete von der öffentlichen IP Adresse an die private Adresse und die IP ausgehenden Pakete aus dem

Privatadresse IP an die öffentliche IP Adresse. Auf der firewall können Sie dies mit einem einzigen

bidirektionale statische Quelle NAT policy .

 

U-drehen NAT

Damit Clients im internen Netzwerk auf den öffentlichen Webserver in der Zone zugreifen DMZ können, müssen wir

Konfigurieren sie eine NAT Regel, die das Paket aus dem externen Netzwerk umleitet, wobei die ursprüngliche Routingtabelle

Lookup wird bestimmen, dass es auf der Grundlage der Zieladresse von 203.0.113.11 innerhalb des Pakets gehen soll, um

die tatsächliche Adresse des Webservers im DMZ Netzwerk von 10.1.1.11. Dazu müssen Sie eine NAT

Regel aus der Treuhand Zone (wo sich die Quelladresse im Paket befindet) in die unvertrauens Zone (wo das Original

Zieladresse ist), um die Zieladresse in eine Adresse in der Zone zu DMZ übersetzen.

 

Sie benötigen auch eine Regel, die auch Datenverkehr von der Vertrauensstellung zum DMZ Webserver in

Frage.

 

Weitere Informationen finden Sie in diesem Dokument:

Konfigurieren von U- Turn NAT

 

Wir freuen uns immer über Kommentare und Fragen im Kommentarbereich.

 

Danke fürs Lesen,

Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXECA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language