- 策略问题
默认情况下,ADC设备会允许设备上所有安全域/地址段之间的信息传输。即,策略默认是全通的。
这点在安全策略的默认动作中可以看到
- NAT回流问题
拓扑如上。
NAT回流,即,当公司内网用户通过自己公司公网映射地址访问自己公司内部服务器时会产生NAT回流问题。
在本次案例中,在ADC上将192.168.1.10:80映射到了192.168.31.105:8888。终端访问映射地址时的访问关系为:192.168.1.2→192.168.31.105,流量到了防火墙后,经过DNAT转换为:192.168.1.2→192.168.1.10,当服务器接收到流量回包时,会直接发送给192.168.1.2,回包关系为:192.168.1.10→192.168.1.2,终端收到数据后会直接丢弃掉,因为终端要访问的事192.168.31.105,回包的却是192.168.1.10。上述这个访问关系就是NAT回流问题。
山石网科防火墙在此场景下会自动匹配到SNAT rule 0这条snat规则,snat 0是在固定场景下自动生成的SNAT 规则,目的是为解决这类场景下的问题。
snat rule 0规则是将源IP地址转换为防火墙到服务器的内网出接口地址。该机制从5.0版本开始支持。
但是!!ADC没有SNAT rule 0这条snat规则!!ADC没有SNAT rule 0这条snat规则!!
而且,手动写snat策略的需要注意,snat规则中不能加入接口!!
如果snat策略如下所配置
终端去访问192.168.31.105是不通的,抓包会发现没有snat策略匹配
如果改入接口为any,则数据可通。
