DotW: U- Problème de NAT tour
Resolution
Palo Alto Networks ingénieurs de soutien reçoivent des questions sur une base régulière sur NAT et quelque chose qui s’appelle Turn U- NAT .
NAT est network address translation, et il est utilisé pour aider à traduire un privé IP ( RFC 1918) en un public pour la IP vie privée, parce qu’il
se cache derrière un autre IP , et le fait qu’une adresse privée IP n’est pas routable sur Internet. C’est ce qu’on appelle source NAT ou peau NAT .
Nous avons également destination NAT , ce qui permet à la publicité firewall c’est untrust IP (ou un autre ) pour ensuite IP être traduit à un hôte interne
ou serveur Web.
U-Turn NAT se réfère à la trajectoire logique que le trafic semble parcourir lors de l’accès à une ressource interne lorsqu’il résout son adresse externe. U- est NAT souvent utilisé dans un réseau où les utilisateurs internes doivent accéder à un serveur interne en utilisant DMZ l’adresse publique externe du IP serveur.
Satish a récemment publié au sujet NAT d’une question qu’il connaissait dans une discussion récente.
Satish connaissait un problème avec qui NAT pourrait être résolu avec l’utilisation de Turn U- NAT .
Plus d'infos
Regardons la mise en page suivante quand nous parlons NAT et U- tourner NAT .
3 zones:
Zone de confiance-E1/4 192.168.1.4/24
DMS Zone - e1/13 10.1.1.1/24
Zone de non-confiance-E1/3 203.0.113.100/24
source NAT
Pour permettre aux clients sur le réseau interne d'accéder aux ressources sur Internet, le 192.168.1.0 interne
les adresses devront être traduites en adresses publiquement routables. Dans ce cas, nous allons configurer la source
NAT, en utilisant l’adresse d’interface d’évacuation, 203.0.113.100, comme adresse source dans tous les paquets qui quittent le
firewall de la zone interne.
Destination NAT
Pour activer le serveur Web, qui dispose à la fois IP d’une adresse privée DMZ sur le réseau et d’une
l’accès des utilisateurs externes – pour envoyer et recevoir des demandes, firewall le doit traduire le
paquets entrants de IP l’adresse publique à IP l’adresse privée et les paquets sortants de la
adresse IP privée à l’adresse IP publique. Sur le firewall , vous pouvez y parvenir avec un seul
source statique bidirectdirecte. NAT policy
U-Tourner NAT
Pour permettre aux clients du réseau interne d’accéder au serveur Web public DMZ dans la zone, nous devrons
configurer une NAT règle qui redirige le paquet à partir du réseau externe, où la table de routage d’origine
Lookup déterminera qu'il doit aller en fonction de l'adresse de destination de 203.0.113.11 dans le paquet, à
l’adresse réelle du serveur Web sur le DMZ réseau du 10.1.1.11. Pour ce faire, vous devez créer un NAT
règle de la zone de confiance (où l'adresse source dans le paquet est) à la zone de non-confiance (où l'original
destination est) pour traduire l’adresse de destination à une adresse dans la DMZ zone.
Vous devez également avoir une règle qui permet également au trafic de la Fiducie à DMZ l’accès au serveur Web dans
Question.
Pour plus d'informations, veuillez consulter ce document:
Comment configurer U- le tour NAT
Nous saluons toujours les commentaires et les questions ci-dessous dans la section commentaires.
Merci pour la lecture,
Joe Delio