专家请上眼
防火墙作为互联网的出口,一般是要做源地址转换,把私网地址转换为公网地址,才能上网。
现在有个疑问,如果没有访问互联网的需求,只是希望私网的服务器对互联网提供服务,在互联网防火墙上只做端口映射(目的nat),私网以防火墙为网关,不做源nat可以吗?
1、当代防火墙都可以,现在的防火墙都是基于会话的防火墙可以。
2、传统的包过滤防火墙不行,现在的路由器可以acl+nat就是类似包过滤防火墙。必须双向配置;
这个作DNAT完全是可以的,关于这个DNAT我给你做个解释吧
1、目的nat是讲防火墙标识五元组的Destination ip做了改变
2、做目的nat的目的是为了不想将内网ip暴露,直接将公网访问内网服务器的ip进行nat转换
3、做目的nat还需要考虑两个事情,假如你内网业务服务器是集群,也就是多服务器提供服务的,就可能需要考虑负载均衡的问题
乍看貌似觉得只要有端口映射可以不用NAT,因为端口映射替代了NAT的地址转换功能。
但是细想觉得还是不行,因为机制不同,NAT是network address translation,地址转换,是将私网和公网地址做转换,即将私网IP以字节套(公网IP+端口)的形式表现出来,而端口映射只是借助NAT基础上做的,如果没有配置NAT,只配置端口映射会不生效的。
另外它们的配置地方也不一样,NAT一般是全局配置,而端口映射只是在ip pool里配置,从配置的地方也可以体会出来应用不可替代性
为了访问Internet,需要一个公网IP地址,但我们可以在我们的私有网络中使用一个私有IP地址。NAT的思想是允许多个设备通过一个公共地址访问Internet。为此,需要将私有IP地址转换为公网IP地址。网络地址转换(NAT)是一个过程,其中一个或多个本地IP地址转换成一个或多个全局IP地址,反之亦然,以提供互联网访问的本地主机。此外,它还进行端口号的转换,即在将被路由到目的地的数据包中,用另一个端口号掩盖主机的端口号。然后在NAT表中生成相应的IP地址和端口号表项。NAT通常在路由器或防火墙上运行。
一般来说,边界路由器是为NAT配置的,即在本地(内部)网络中有一个接口,在全局(外部)网络中有一个接口。当一个包在本地(内部)网络外遍历时,NAT会将这个本地(私有)IP地址转换为一个全局(公共)IP地址。当报文进入本地网络时,全局(公网)IP地址转换为本地(私网)IP地址。
若是想内网不连外网,不设置DNS服务器即可(总之方法很多)。对外的服务器设置DNS即可。防火墙安装在服务器上。
按照你要求的话,只让服务器上网,那可以只对服务器地址进行一对一目的转换就好(带端口),其他不转换就出不去了,或者写控制策略也可以,只放行服务器的流量,禁止其他流量访问互联网。