【防火墙技术连载17】 强叔侃墙 NAT篇 NAT Server 三十二字真言(下篇)

[复制链接]
强叔侃墙
强叔侃墙 官方号 发表于 2015-1-8 09:36:07 已赞(0) 赞(0)

回复 39 楼

V300R001C10后面的版本才有源进源回的功能。

如果我们的防火墙和ISP用户之间还有其他的防火墙就可能会出问题。因为这个时候对于中间链路上的防火墙就是来回路径不一致了,中间链路的防火墙上如果开了状态检测,就会丢包。现网就出现过这种问题,所以产品才加上这个功能的。

  • x
  • 常规:

点评 回复

weissyang
weissyang   发表于 2015-1-8 09:39:07 已赞(0) 赞(0)

Quote 21 #

配置no-reverse参数后,服务器回应外网访问的报文,因为该报文属于后续包,所以命中会话表转发,源地址转换为Global地址。而服务器主动访问外网的报文,由于没有反向Server-map表了,所以就需要配置源NAT了。
qiang_shu Post On 2014-07-31 14:59


--------------------

前文一直都是说会话表只是相当于对某个五元组流量进行了一次回包的安全策略豁免。会话表还负责进行回包的对称地址端口转换?

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-1-8 09:42:58 已赞(0) 赞(0)

回复 41 楼

你要先理解清楚 不带no-reverse参数 生成反向server-map表做地址转换的场景。这个场景是服务器主动对外发起访问才会用这个反向server-map表来做地址转换,不是给服务器被动回包用的。

如果是带上no-reverse参数,不生成反向server-map表。这种情况下,客户端访问服务器,会生成一个会话表对吧?这个会话表里是不是会记录服务器公网地址和私网地址之间的转换关系?

服务器回客户端的报文,就根据会话表来将源地址由私网地址转换成公网地址。不需要反向server-map表或者去配置源NAT。

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2015-1-8 09:44:54 已赞(0) 赞(0)

回复 43 楼

是的。会话表会记录地址端口的转换关系。一旦会话表有了,就会根据会话表转发了,不管是入包还是回包。否则,每次都去匹配server-map、匹配安全策略、匹配源NAT策略,岂不是很费事?
  • x
  • 常规:

点评 回复

weissyang
weissyang   发表于 2015-1-8 10:19:03 已赞(0) 赞(0)

Quote 45 #

是的。会话表会记录地址端口的转换关系。一旦会话表有了,就会根据会话表转发了,不管是入包还是回包。否则,每次都去匹配server-map、匹配安全策略、匹配源NAT策略,岂不是很费事?
qiang_shu Post On 2015-01-08 09:44


---------------

太感谢了。完全明白了。

另外问一下NATSERVER自反和源NAT里的端口资源。哪个优先占用?如果地址池里某个地址的某个端口在源NAT里被某台内部主机占用了。再配置另外一台内部主机的相应的NAT SERVER 时防火墙会怎么处理?

  • x
  • 常规:

点评 回复

yutao1989
yutao1989   发表于 2014-10-29 10:32:11 已赞(0) 赞(0)

为什么NAT Server的公网地址和公网接口地址在同一个网段时,防火墙会发免费ARP,而不在同一个网段时,防火墙不会发免费ARP

答:在同一网段通过交换机时会根据MAC进行转发,而不在同一网段则是在数据会先到防火墙再转发到虚拟的NAT server的IP上,相当于多了一跳

  • x
  • 常规:

点评 回复

w00188679
w00188679   发表于 2014-10-29 18:05:26 已赞(0) 赞(0)

inbound和outbound的策略顺序是不是不一样,对于有server-map这种。感觉trust到untrust是先匹配policy,然后匹配server-map,最后是nat。而untrust到trust是先匹配server-map,然后匹配nat,最后匹配policy。 不知道对不对。

  • x
  • 常规:

点评 回复

guodong123
guodong123   发表于 2014-12-2 10:48:31 已赞(0) 赞(0)

回复 22 楼

       因为强叔在文中说过:NAT-server 一条命令同时打通了私网服务器和公网之间出入两个方向的地址转换通道,但这只是地址转换通道,用于转换地址的,都仅能实现地址转换而已,如果数据包要经过防火墙,还得将进行安全策略检查。

 所以,配置了no-reverse 命令后,只是禁止了防火墙主动把服务器的私网地址转换成公网地址,而服务器回复外网主机的报文,因为这是外网主机访问内网服务器的后续报文,并不是服务器主动访问外网的报文,并且之前外网访问服务器的时候已经在防火墙上建立了该报文的会话表,且有了正向NAT-server,所以,回复报文会通过防火墙,不会受no-reverse的影响。

          正向nat-server+会话表(正确的安全策略)保证了外网访问内网服务器的正常,而配置了no-reverse后,防火墙不生成反方向NAT-SERVER,当服务器想主动访问外网的时候,因为没有了nat-server,所以,此时得配置针对服务器地址的源NAT,配置了源NAT后,源NAT+会话表(正确的安全策略)从而保证了内部服务器主动访问外网的成功

  • x
  • 常规:

点评 回复

liwenju13
liwenju13   发表于 2015-3-22 16:21:24 已赞(0) 赞(0)

在这个案例中“公网用户通过防火墙发布给ISP1的公网地址1.1.1.1访问服务器,服务器的响应报文到达防火墙后,防火墙根据目的地址查找路由表,可能会将响应报文由ISP2发送出去,这样就会导致访问速度过慢或无法访问。”    除了在防火墙接口底下配置源进源出的功能外,还有其他方式能实现吗?    好像比较老的防火墙中没有这个功能

  • x
  • 常规:

点评 回复

nameless2
nameless2   发表于 2015-6-30 16:33:32 已赞(0) 赞(0)

模拟器做NAT VRRP 绑定一直报错怎么回事?



Warning: There is no VRRP backup group on the same network segment as the NAT ad
dress pool, so you do not need to bind the VRID.
主防火墙ip 1.1.1.1/24
VRRP1:1.1.1.2/24
NAT地址池:1.1.1.10 -1.1.1.15

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录