【防火墙技术连载17】 强叔侃墙 NAT篇 NAT Server 三十二字真言(下篇)

[复制链接]
Draco智
Draco智   发表于 2014-8-1 21:48:51 已赞(0) 赞(0)

引用 21 楼

配置no-reverse参数后,服务器回应外网访问的报文,因为该报文属于后续包,所以命中会话表转发,源地址转换为Global地址。而服务器主动访问外网的报文,由于没有反向Server-map表了,所以就需要配置源NAT了。
强叔侃墙 发表于 2014-07-31 14:59


强叔,你的意思是说如果配置了"no-reverse"参数,需要做NAT源地址转换,就是像其他终端配置NAT OUTBOUND吗(ACL里有内网服务的地址段。。


谢谢!

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-7-11 09:18:15 已赞(0) 赞(0)

回复 16 楼

ENSP现在有个bug。你尝试在接口视图下配置vrrp virtual-mac enable命令,试试看能不能ping通。
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-8-7 08:47:54 已赞(0) 赞(0)

回复 22 楼

是这样子的

  • x
  • 常规:

点评 回复

c00200474
c00200474   发表于 2014-6-20 03:07:39 已赞(0) 赞(0)

为什么NAT Server的公网地址和公网接口地址在同一个网段时,防火墙会发免费ARP,而不在同一个网段时,防火墙不会发免费ARP

------------不在一个网段就必须查路由表了吧,防火墙就必须得发布nat server网段的路由给client。

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-11-4 14:18:26 已赞(0) 赞(0)

回复 26 楼

您的理解有些偏差。不论是trust访问untrust,还是untrust访问trust,首包的匹配顺序都是一样的。

trust访问untrust经常是做源NAT,从报文处理流程上来说,源NAT策略匹配是在安全策略匹配之后。而untrust访问trust经常是做NAT Server,报文匹配NAT Server的Server-map表是在安全策略匹配之前。个人猜测是不是因为这样才导致您有了inbound和outbound方向报文处理顺序不同的理解。

  • x
  • 常规:

点评 回复

w00188679
w00188679   发表于 2014-11-5 13:54:39 已赞(0) 赞(0)

回复 27 楼

之前忽略了首包这个概念。因为trust到untrust 和 untrust到trust的使用场景不通,所以有一定的误解。看了强叔后续的帖子,数据包匹配流程是一样的。

  • x
  • 常规:

点评 回复

小北瓜
小北瓜  新锐 发表于 2014-11-5 23:04:52 已赞(0) 赞(0)

回复 18 楼

没用的 试过了 多谢
  • x
  • 常规:

点评 回复

小北瓜
小北瓜  新锐 发表于 2014-11-5 23:11:42 已赞(0) 赞(0)

好高深啊 能不能给我们配置啊? 感觉这几行命令不能实现吧
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-11-6 09:07:48 已赞(0) 赞(0)

回复 30 楼

您是想要什么配置呢? 如果是NAT Server的详细配置,您可以参考下我们的产品手册。

  • x
  • 常规:

点评 回复

小北瓜
小北瓜  新锐 发表于 2014-11-10 14:47:09 已赞(0) 赞(0)

大神,产品文档当然有啦,可是你总结出来的,印象深刻啊,感谢
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录