防火墙v7版本策略配置
- 0关注
- 1收藏,1022浏览
问题描述:
nat global-policy
rule name 8175
source-ip x.x.0.0
destination-ip x.x.x.x
action snat address-group 3123
action dnat ip-address x.x.x.x
counting enable
同一条nat同时有snat和dnat,写策略的时候源目的IP应该怎么写呢?
官网上没找到手册,求了解。
组网及组网描述:
- 2021-11-08提问
- 举报
-
(0)
最佳答案
安全策略对全局NAT,实际上还是保留了接口NAT的匹配模式,源写转化前,目的写转换后的。
- 2021-11-09回答
- 评论(2)
- 举报
-
(0)
貌似不对,找到这么一句,nat global-policy,则先匹配nat global-policy,再去匹配安全策略,按这句理解就是策略里源和目的都是些转换后的。
全局nat的老版本是这样,但是新版本为了兼容之前做接口NAT改为全局NAT的设备,因此还是按照接口NAT的方式去匹配策略了。不然客户改全局NAT 安全策略需要全部重新配置。因此现在支持全局NAT的最新版本都是按照源转化前目的转换后去匹配的。
您好,参考
配置NAT规则。
¡ 配置NAT规则中源地址转换方式。
NO-PAT方式:
action snat address-group { group-id | name group-name } no-pat [ reversible ]
undo action snat
PAT方式:
action snat address-group { group-id | name group-name } [ port-preserved ]
undo action snat
静态地址转换方式:
action snat ip-address global-address
undo action snat
NO-NAT方式:
action snat no-nat
undo action snat
缺省情况下,未配置NAT规则中源地址的转换方式。
¡ 配置NAT规则的目的地址转换方式。
静态地址转换方式:
action dnat ip-address local-address [ port local-port ]
undo action dnat
NO-NAT方式:
action dnat no-nat
undo action dnat
缺省情况下,未配置NAT规则中目的地址的转换方式。
- 2021-11-08回答
- 评论(0)
- 举报
-
(0)
如果是接口nat,如果是nat server,则先做nat ,后匹配安全策略;如果是nat outbound,则先匹配安全策略,后做nat;
如果是nat policy,则先匹配安全策略,后做nat转换;
如果是nat global-policy,则先匹配nat global-policy,再去匹配安全策略。(策略源目的IP写转换之后的地址)
- 2021-12-08回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
全局nat的老版本是这样,但是新版本为了兼容之前做接口NAT改为全局NAT的设备,因此还是按照接口NAT的方式去匹配策略了。不然客户改全局NAT 安全策略需要全部重新配置。因此现在支持全局NAT的最新版本都是按照源转化前目的转换后去匹配的。