有一个静态NAT规则可以实现以下目的。
(对于这个问题,我们假设WAN subnet的子网为1.1.1.1/24)
WAN interface上port X到1.1.1.6的入站流量被NAT转为LAN IP 192.168.0.1。
现在这不是1-1 NAT规则,只是入站流量的静态NAT。当返回流量发送回客户端时,防火墙是否知道NAT流量返回到源IP为1.1.1.6的客户端?
我假设它必须?由于TCP是一种双向协议,如果客户端在与其发送流量的IP不同的IP上收回流量,它会丢弃它吗?
答案 0 :(得分:1)
这取决于NAT的类型。
如果它是多对一NAT,那么这是正确的。出站数据包建立一条记录,用于了解如何处理入站数据包。这是最常见的NAT类型,也是典型家庭网络中使用的类型。
它是一对一的NAT,然后收到的任何入站到1.1.1.6(在您的示例中)的入站数据包将被NAT到192.168.0.1。
答案 1 :(得分:1)
静态1:1 NAT定义哪个内部地址转换为哪个外部地址,因此NAT路由器无需弄清楚;它已经在配置中提供给路由器。它只需要转换外部源数据包上的目标地址,以及内部源数据包上的源地址;一个简单的静态表查找。
当NAT不是静态或1:1时,它会变得更复杂。然后NAT路由器需要动态构建表,并为表条目创建超时。