DotW: U- Problema de giro NAT
Resolution
Los ingenieros de soporte de Palo Alto Networks reciben preguntas regularmente sobre NAT y algo llamado Turn U- NAT .
NAT es traducción de direcciones de red, y se utiliza para ayudar a traducir un privado IP RFC (1918) en un público IP para la privacidad, porque
se esconde detrás de IP otro, y el hecho de que una dirección privada IP no es enrutable en Internet. Esto se conoce como Origen NAT u Ocultar NAT .
También tenemos NAT Destino, que permite que la firewall publicidad de su Untrust IP (u IP otro) se traduzca a un host interno
o servidor Web.
U-Turn NAT hace referencia a la ruta lógica por la que el tráfico parece viajar al acceder a un recurso interno cuando resuelven su dirección externa. U- a menudo NAT se utiliza en una red donde los usuarios internos necesitan acceder a un servidor interno utilizando la dirección DMZ pública externa del IP servidor.
Satish publicó recientemente sobre un NAT tema que estaba experimentando en una discusión reciente.
Satish estaba experimentando un problema con NAT que podría resolverse con el uso de U- Turn NAT .
Más info
Veamos el siguiente diseño cuando estamos hablando NAT y U- gire NAT .
3 zonas:
Trust Zone-E1/4 192.168.1.4/24
DMS Zona - e1/13 10.1.1.1/24
Untrust Zone-E1/3 203.0.113.100/24
Fuente NAT
Para permitir que los clientes de la red interna accedan a los recursos de Internet, el 192.168.1.0 interno
las direcciones deberán traducirse a direcciones públicamente enrutables. En este caso, vamos a configurar la fuente
NAT, utilizando la dirección de interfaz de salida, 203.0.113.100, como la dirección de origen en todos los paquetes que dejan el
firewall de la zona interna.
Destino NAT
Para habilitar el servidor web, que tiene una dirección privada IP en la red y DMZ una
dirección de acceso de usuarios externos: tanto para enviar como para recibir solicitudes, firewall
paquetes entrantes de la IP megafonía a la dirección privada IP y los paquetes salientes de la
dirección privada IP a la IP megafonía. En el firewall , se puede lograr esto con un solo
fuente estática bidireccional. NAT policy
U-giro NAT
Para permitir que los clientes de la red interna accedan al servidor web público de la DMZ zona, tendremos que
configurar una NAT regla que reoriente el paquete de la red externa, donde la tabla de ruteo original
búsqueda determinará que debe ir basado en la dirección de destino de 203.0.113.11 dentro del paquete, para
la dirección real del servidor web en la DMZ red de 10.1.1.11. Para ello debe crear un NAT
regla de la zona de confianza (donde está la dirección de origen en el paquete) a la zona Untrust (donde el original
dirección de destino es) para traducir la dirección de destino a una dirección en la DMZ zona.
También necesita tener una regla que también permita el tráfico de la confianza a la DMZ para acceder al servidor web en
Pregunta.
Para más información, por favor vea este documento:
Cómo configurar U- el giro NAT
Siempre damos la bienvenida a los comentarios y preguntas a continuación en la sección de comentarios.
Gracias por leerme,
Joe Delio