This website uses cookies essential to its operation, for analytics, and for personalized content. By continuing to browse this site, you acknowledge the use of cookies.
For details on cookie usage on our site, read our Privacy Policy
For details on cookie usage on our site, read our Privacy Policy
如何配置U-Turn NAT
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Options
- Subscribe to RSS Feed
- Mark as New
- Mark as Read
- Bookmark
- Subscribe
- Printer Friendly Page
- Report This Content
huwang
L2 Linker
Options
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report This Content
on 12-18-2022 07:58 PM
No ratings
什么是U-Turn NAT ?
U-Turn是指内部用户使用服务器的外部公网IP访问内部服务时经过的逻辑路径。
在什么场景下需要用到U-Turn NAT?
在某些环境中,内部主机可能需要连接到外部 IP 地址才能访问特定的本地服务,例如,本地托管的 Web 服务器或邮件服务器。由于没有内部 DNS 服务器或由于服务本身特定的要求,内部用户必须访问它的外部 IP 地址。
如何使用Palo Alto 下一代防火墙配置 U-Turn NAT?
配置清单:
- U-Turn NAT规则
- 安全策略
- 在设置NAT规则时,需要配置源区域和目的区域与源IP地址和目的IP地址所属的区域一致。相反,安全规则配置区域由实际的源区域和目标区域确定,但使用原始目标 IP 地址。
- U-Turn NAT规则的优先级需要高于通用NAT规则。
如图所示,当内部用户需要使用公共IP地址访问本地资源。
在该示例中,使用常规目标 NAT 配置,从客户端连接到服务器的外部 IP 地址 198.51.100.22 的连接都将被转换为目标 IP 地址 192.168.1.100,但服务器会将回包直接发送到客户端,从而导致非对称路径流量。
NAT 规则配置如下:
安全策略配置如下:
如图所示,当内部用户需要使用公共IP地址访问DMZ资源。
在该示例中,不存在非对称路径数据包的问题,因此无需配置源NAT。
NAT 规则配置如下:
安全策略配置为User区域到DMZ区域:
Rate this article:
LEGAL NOTICES
Copyright 2007 - 2023 - Palo Alto Networks