nat回流
- 0关注
- 1收藏,5977浏览
1、nat回流指的是,内网用户通过公网地址访问内部服务器
2、所以是要经过公网的
- 2022-10-27回答
- 评论(2)
- 举报
-
(0)
答案就是会做源地址和目的地址的NAT,实现方式不同厂商不同版本不一样,这里只找到思科和华为的实现方式供参考,可以抓包看一下: 思科防火墙: 思科防火墙在内网通过公网访问内网web服务的时候,当流量到达防火墙以后,防火墙偷偷地数据包的源地址改成防火墙inside接口的地址了,这样web服务器收到数据包的时候,就会响应这个数据包,把这个数据包响应给防火墙,而不是内网的主机。防火墙收到响应数据包以后,再偷偷地将数据包的源ip地址(此时已经变成目的ip地址了)改成内网主机的ip地址,然后转发给内网主机。 华为防火墙: 华为防火墙在内网通过公网访问内网web服务的时候,当流量到达防火墙后,防火墙像思科防火墙一样,也会偷偷将数据包的源地址改成配置好的地址池中的一个ip地址(一般是一个公网地址,只要全局唯一即可);web服务器收到数据包的时候,就会响应这个数据包,因为是地址池内的地址,在内网不可路由,数据就会被路由到防火墙上,防火墙再次偷偷地将数据包的源ip地址(此时也应变成目的ip地址了)修改成内网主机的ip地址,然后再发给内网主机。
所以NAT回流需不需出公网😂
- 2023-01-17回答
- 评论(1)
- 举报
-
(0)
我做了一个实验 在接口上配置NAT回流 可以指定公网的出接口 也可以指定内网的那个接口 如果是第一个 那么则查到会话表的转换是公网的IP 如果是第二个 那就是内网的那个接口IP 其实并不是出公网 而是防火墙对数据包的源目IP进行了修改 并且自身保存了会话 所以知道修改后的该发给谁
我做了一个实验 在接口上配置NAT回流 可以指定公网的出接口 也可以指定内网的那个接口 如果是第一个 那么则查到会话表的转换是公网的IP 如果是第二个 那就是内网的那个接口IP 其实并不是出公网 而是防火墙对数据包的源目IP进行了修改 并且自身保存了会话 所以知道修改后的该发给谁
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
答案就是会做源地址和目的地址的NAT,实现方式不同厂商不同版本不一样,这里只找到思科和华为的实现方式供参考,可以抓包看一下: 思科防火墙: 思科防火墙在内网通过公网访问内网web服务的时候,当流量到达防火墙以后,防火墙偷偷地数据包的源地址改成防火墙inside接口的地址了,这样web服务器收到数据包的时候,就会响应这个数据包,把这个数据包响应给防火墙,而不是内网的主机。防火墙收到响应数据包以后,再偷偷地将数据包的源ip地址(此时已经变成目的ip地址了)改成内网主机的ip地址,然后转发给内网主机。 华为防火墙: 华为防火墙在内网通过公网访问内网web服务的时候,当流量到达防火墙后,防火墙像思科防火墙一样,也会偷偷将数据包的源地址改成配置好的地址池中的一个ip地址(一般是一个公网地址,只要全局唯一即可);web服务器收到数据包的时候,就会响应这个数据包,因为是地址池内的地址,在内网不可路由,数据就会被路由到防火墙上,防火墙再次偷偷地将数据包的源ip地址(此时也应变成目的ip地址了)修改成内网主机的ip地址,然后再发给内网主机。