如何配置U-Turn NAT

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings
 

什么是U-Turn NAT ?

 

U-Turn是指内部用户使用服务器的外部公网IP访问内部服务时经过的逻辑路径。

 

在什么场景下需要用到U-Turn NAT?

 

在某些环境中,内部主机可能需要连接到外部 IP 地址才能访问特定的本地服务,例如,本地托管的 Web 服务器或邮件服务器。由于没有内部 DNS 服务器或由于服务本身特定的要求,内部用户必须访问它的外部 IP 地址。

 

如何使用Palo Alto 下一代防火墙配置 U-Turn NAT?

 
配置清单:
  • U-Turn NAT规则
  • 安全策略
注意事项:
  • 在设置NAT规则时,需要配置源区域和目的区域与源IP地址和目的IP地址所属的区域一致。相反,安全规则配置区域由实际的源区域和目标区域确定,但使用原始目标 IP 地址。
  • U-Turn NAT规则的优先级需要高于通用NAT规则。

如图所示,当内部用户需要使用公共IP地址访问本地资源。

huwang_1-1669884770162.png

 

在该示例中,使用常规目标 NAT 配置,从客户端连接到服务器的外部 IP 地址 198.51.100.22 的连接都将被转换为目标 IP 地址 192.168.1.100,但服务器会将回包直接发送到客户端,从而导致非对称路径流量。
NAT 规则配置如下:
huwang_6-1669887634465.png
安全策略配置如下:
huwang_7-1669887708837.png

 

如图所示,当内部用户需要使用公共IP地址访问DMZ资源。

huwang_0-1669883967030.png

在该示例中,不存在非对称路径数据包的问题,因此无需配置源NAT。
NAT 规则配置如下:
huwang_5-1669887511615.png
安全策略配置为User区域到DMZ区域:
huwang_3-1669887230487.png

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎12-01-2022 01:48 AM
Updated by: