掉头时连接的逻辑路径遍历防火墙从里面,外面,回来后,通过连接到内部的资源,使用其外部的 IP 地址使用的术语。 掉头 NAT 是一个配置技巧以适应部署外部 IP 需要达到内部资源的地方。
何时是掉头 NAT 有用?
在某些环境中,内部的主机可能需要外部的 IP 地址来运行某些服务,例如,本地承载的 web 服务器或邮件服务器。 内部主机可能需要使用外部的 IP 地址是没有内部的 DNS 服务器或其他特定于服务的要求。
在示例中,使用常规目标 NAT 配置,源自膝上型计算机重定向到服务器上它的外部 IP 地址,198.51.100.230,任何连接定向到默认网关,由于 IP 地址不在本地子网。 它然后获取翻译到目的地 IP 地址 192.168.0.97,而不应用源 NAT,这会导致 web 服务器返回数据包将直接发送到工作站,造成不对称的流中。
安全策略已允许入站的连接从互联网到内部 web 服务器与应用程序 web 浏览,这是默认端口 80 的入站的规则。 进一步,我们有一个简单的出站安全策略,允许任何用户去因特网上的任何应用程序。最后,我们有两个隐含的规则允许主要通信,例如,信任到信任和阻止会话到达其他区没有明确的政策,允许它的被拒绝的 intranet 区域。
NAT 策略有一个入站规则, 允许从任何位置到外部 ip 地址的连接被转换为服务器的内部 ip 地址和一个隐藏 NAT规则, 允许内部连接进入 Internet 并获得源代码转换后的防火墙的外部接口 IP 地址.
当我们看看客户端 PC,如果打开一个浏览器,并尝试访问 198.51.100.230,这是我的内部服务器的面向互联网的 IP 地址,你会看到不加载页面。如果我提起 Wireshark,你会看到 syn 数据包被发送到外部 IP,syn-ack 正在接收来自内部 IP 地址 192.168.0.97,和客户端的不理解怎么被发送重置。
如果我们现在回去,防火墙和 NAT 开放,我们看到已经被设置入站的 NAT 规则接受任何源区域并将其转化为适当的内部服务器的 IP 地址。
创建新的 NAT 规则详细信息︰
名称-内部访问
源区域-信任
目标区域 — — 不信任
目标地址 — — 198.51.100.230
根据翻译包选项卡︰
目标地址 — — 192.168.0.97 (问题的 web 服务器的 IP 地址)
源地址翻译 — — 动态 IP / 端口
切换地址类型 — — 界面
界面 — — ethernet1/2 (在防火墙内部接口)
IP 地址-192.168.0. 230/24
如果添加新规则, 请将其命名为内部访问,转到原始数据包选项卡, 并将源区域设置为 "信任"、"目标区域到不信任", 并将目标地址设置为 198.51.100.230. 然后将移动到翻译包选项卡,设置目标,如与规律,对 192.168.0.97,然后还启用了源地址转换通过将它设置为动态 IP 和端口切换到接口地址的地址类型。
您可以将地址类型设置为已翻译的地址,并在分配给该接口的 ip 范围内选择一个地址, 在此示例中, 我们将坚持分配给接口的 ip 地址, 以便于使用.