NAT 策略的区域选择基于 NAT 前地址区域
1、snat,主要用于防火墙内部用户访问外网
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256664.png)
举例如下所示:
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256665.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256674.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256682.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256691.png)
ps:在源地址转换中,转换类型有静态ip,在这种情况下,内部的一个服务器私有地址被转为一个公网地址来上网;如果勾选了双向,外部用户可以通过该公网地址来访问内部的服务器。但是静态ip模式的优先级比较低,如果想让该策略生效,需要把该策略放到最前面。
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256698.png)
使用场景如下图所示:
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256732.png)
2、dnat(ip mapping),将某一个公网地址单独的映射给内部的某一台服务器。
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256701.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256715.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256714.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256719.png)
在做dnat时,区域基于nat前 地址所在的区域。源区域一般为untrust,目标区域要使用驻留公共 IP 地址的区域(即untrust)来配置 NAT 策略,在这种情况下,源和目标区域将是相同的。
配置完dnat后,还需要配置相应的放行策略,如下图所示,源zone为untrust,目的zone为dmz,目的ip为服务器映射的公网地址。
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256734.png)
3、dnat(port mapping),将某一个公网地址的不同端口映射给内部的不同服务器的不同端口。
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256732.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256743.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256774.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256755.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256766.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256772.png)
4、dnat(内部用户通过公网地址访问内部服务器)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256772.png)
trust用户也通过访问3.1.1.100来访问内部服务器。
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256776.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256827.png)
5、dnat(server和内部用户都在trust区域)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256831.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256814.png)
![](https://www.zccie.com/wp-content/uploads/2019/11/20190807131256818.png)
默认trust-trust为放行的。
ps:在monitor>日志>通信,可以查看通信日志的情况(nat和策略的放行或拒绝动作),在命令行里使用:show session all也可以查看。
pps:使用show running nat-policy可以在命令行里查看nat策略的配置情况。
在dnat中policy和nat相互影响,在配置nat和policy时最常见的错误是zone和ip 对象的确定。在dnat中地址一般指的是数据包中原始的ip地址,即转换之前的地址;在dnat中目的区域基于nat前 地址所在的区域,即被访问的公网ip所在的区域。
在安全策略(policy)中,地址和服务值得也是数据包中原始的ip地址和端口,即转换之前的地址;然而,在安全策略(policy)中目的区域指的是最终被访问的主机所在的区域。
U-TRUN NAT:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEiCAK&lang=zh_CN