博客围绕防火墙源地址转换问题展开。内部电脑经防火墙访问时,源地址被转换成接口地址,看不到真实地址。介绍了现有防火墙策略,通过tcpdump在服务器端抓包测试发现源地址被转换。经调整策略,如精确设置入站和出战接口,可让服务器看到真实地址,还提及不同版本实现效果的差异。
问题
内部电脑互相访问经给防火墙,但是防火墙把源地址给转换成了接口地址,因为有需求,看不到真实的地址,需要对策略进行调整。
现有防火墙策略
新建的NAT规则,原始源是两台内网主机和服务器,SNAT是MASQ是出接口地址。
接口匹配条件,入站接口-任意,出战接口-任意。
通过tcpdump在服务器端抓包测试
在pc端ping服务器地址,然后在服务器端抓包测试看源地址。
pc机的地址是192.168.5.50
但是通过服务器端抓包显示,过来的源地址是192.168.4.1,把pc的地址转换为了防火墙的接口地址。
解决问题配置
为了让服务器端看到真实的pc机地址,需要对策略进行调整。
入站接口:勾选Port3和Port4,出战接口勾选Port2.
再次测试,就发现pc机的地址是真实地址,没有做转换。
结论
正常在v17版本的防火墙中,可以不勾选重写源地址,就不会转换源地址。
但是在v18版本中,只能更改更精确的出接口才能实现这个效果。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
