nat迴流的思考:
目前大多數企業網都存在nat迴流現象,但是現在防火牆都能自動識別nat迴流(所謂自動識別就是防火牆有dnat表),所以來回方向都經過防火牆的數據nat迴流是不會造成影響的。或者也能通過dns服務器解決,內網訪問時直接將域名映射到內網地址。
但是當企業網比較大,防火牆下部有核心時,就會經常出現服務器返回數據不經過防火牆(服務器客戶端在同一區域不經過防火牆能直接訪問,這時client-server是通過nat server訪問的,server-client是路由直接訪問不過防火牆),這時nat迴流就會造成影響。解決nat迴流的思路就是將數據都引到防火牆。
客戶端請求數據在防火牆做dnat,轉換目的地址到內網服務器,之後從防火牆出去時做snat,轉換源地址爲防火牆本地地址。這樣服務器接受到的請求報文的源地址就在防火牆。從而服務器返回數據的目的地址就是防火牆本地地址。從而服務器返回數據就導入到了防火牆,防火牆通過snat表dnat表,轉換返回數據的目的地址源地址,從而成功到達客戶端。