ドットW: U- ターン NAT の問題
Resolution
パロアルトネットワークスのサポートエンジニアは、ターンと呼ばれるものについて定期的に質問 NAT を受 U- けます NAT .
NAT はネットワーク アドレス変換であり、 IP RFC プライバシーのためにプライベート (1918) をパブリックに変換するために使用 IP されます。
は別の IP の背後に隠れ、プライベート IP アドレスがインターネット上でルーティング可能でないことを示します。 これは、ソースまたは非表示 と呼 NAT NAT ばれます。
また、宛先 NAT は、 firewall それが不信 (または別の ) をアドバタイズし、 IP IP 内部ホストに翻訳することを可能にします。
または web サーバー。
U-ターン NAT は、外部アドレスを解決するときに、内部リソースにアクセスするときにトラフィックが移動するように見える論理パスを指します。 U-turn NAT は、内部ユーザーがサーバーの外部パブリック アドレスを使用して内部サーバーにアクセスする必要があるネットワークでよく使用 DMZ IP されます。
サティッシュは最近、 NAT 彼が最近の議論で経験していた問題について投稿しました。
サティッシュは NAT ターンの使用で解決されるかもしれない問題を経験していました U- NAT .
詳細情報
私たちが話しているときに次のレイアウト NAT を見てみましょう U- NAT とターン.
3つのゾーン:
トラストゾーン-e1/4 192.168.1.4/24
DMS ゾーン - e1/13 10.1.1.1/24
Untrust ゾーン-e1/3 203.0.113.100/24
ソース NAT
内部ネットワーク上のクライアントがインターネット上のリソースにアクセスできるようにするには、内部192.168.1.0
アドレスは、パブリックにルーティング可能なアドレスに変換する必要があります。 この場合、ソースを設定します。
NATを使用して、出力インターフェイス アドレス 203.0.113.100 を、発信するすべてのパケットの送信元アドレスとして、
firewall 内部ゾーンから。
先 NAT
ネットワーク上のプライベート IP アドレスとパブリックアドレスの両方を持つ Web サーバーを有効にするには DMZ
外部ユーザーによるアクセスのアドレス — 要求の送信と受信の両方に対して、 firewall
パブリック IP アドレスからプライベート アドレスへの受信 IP パケットと、発信パケット
IPパブリック アドレスへのプライベート IP アドレス。 では、 firewall 単一ではこれを達成できます。
双方向静的ソース NAT policy 。
U-ターン NAT
内部ネットワーク上のクライアントがゾーン内のパブリック Web サーバーにアクセスできるようにするには DMZ 、
NAT外部ネットワークからパケットをリダイレクトするルールを設定し、元のルーティング テーブルを構成します
ルックアップは、パケット内の203.0.113.11 の宛先アドレスに基づいて行く必要があります決定されます
ネットワーク上の DMZ 10.1.1.11 の Web サーバーの実際のアドレス。 これを行うには、 NAT
untrust ゾーン (パケットのソースアドレスがある場所) からのルール (元の
宛先アドレスは)、宛先アドレスをゾーン内のアドレスに変換 DMZ する。
また、信頼から Web サーバーへのトラフィックを許可するルールも必要 DMZ です。
質問。
詳細については、次のドキュメントを参照してください。
我々は常にコメント欄に以下のコメントや質問を歓迎します。
読書のおかげで
デリオ ・ ジョー