什么是U-Turn NAT ?
U-Turn是指内部用户使用服务器的外部公网IP访问内部服务时经过的逻辑路径。
在什么场景下需要用到U-Turn NAT?
在某些环境中,内部主机可能需要连接到外部 IP 地址才能访问特定的本地服务,例如,本地托管的 Web 服务器或邮件服务器。由于没有内部 DNS 服务器或由于服务本身特定的要求,内部用户必须访问它的外部 IP 地址。
如何使用Palo Alto 下一代防火墙配置 U-Turn NAT?
配置清单:
注意事项:
- 在设置NAT规则时,需要配置源区域和目的区域与源IP地址和目的IP地址所属的区域一致。相反,安全规则配置区域由实际的源区域和目标区域确定,但使用原始目标 IP 地址。
- U-Turn NAT规则的优先级需要高于通用NAT规则。
如图所示,当内部用户需要使用公共IP地址访问本地资源。

在该示例中,使用常规目标 NAT 配置,从客户端连接到服务器的外部 IP 地址 198.51.100.22 的连接都将被转换为目标 IP 地址 192.168.1.100,但服务器会将回包直接发送到客户端,从而导致非对称路径流量。
NAT 规则配置如下:
安全策略配置如下:
如图所示,当内部用户需要使用公共IP地址访问DMZ资源。

在该示例中,不存在非对称路径数据包的问题,因此无需配置源NAT。
NAT 规则配置如下:
安全策略配置为User区域到DMZ区域: