如何配置U-Turn NAT

huwang — Mon, 19 Dec 2022 03:58:37 GMT

什么是U-Turn NAT ?

U-Turn是指内部用户使用服务器的外部公网IP访问内部服务时经过的逻辑路径。

在某些环境中，内部主机可能需要连接到外部 IP 地址才能访问特定的本地服务，例如，本地托管的 Web 服务器或邮件服务器。由于没有内部 DNS 服务器或由于服务本身特定的要求，内部用户必须访问它的外部 IP 地址。

配置清单：

注意事项：

在设置NAT规则时，需要配置源区域和目的区域与源IP地址和目的IP地址所属的区域一致。相反，安全规则配置区域由实际的源区域和目标区域确定，但使用原始目标 IP 地址。
U-Turn NAT规则的优先级需要高于通用NAT规则。

如图所示，当内部用户需要使用公共IP地址访问本地资源。

在该示例中，使用常规目标 NAT 配置，从客户端连接到服务器的外部 IP 地址 198.51.100.22 的连接都将被转换为目标 IP 地址 192.168.1.100，但服务器会将回包直接发送到客户端，从而导致非对称路径流量。

NAT 规则配置如下：

安全策略配置如下：

如图所示，当内部用户需要使用公共IP地址访问DMZ资源。

在该示例中，不存在非对称路径数据包的问题，因此无需配置源NAT。

NAT 规则配置如下：

安全策略配置为User区域到DMZ区域：