我使用 SonicWall TZ105“公共服务器”向导为内部(非 DMZ)服务器添加 NAT 策略,但我不明白为什么需要所有由此产生的自定义策略:
# Source Destin. Service Interface
Original Translated Original Translated Original Translated In Out
-- ------------ ----------- --------- ----------- --------- ----------- --- ---
1 Firewalled MyServer MyServer MyServer MyServer Original Any Any
Subnets Public Public Private Services
2 MyServer MyServer Any Original MyServer Original Any X1
Private Public Services
3 Any Original MyServer MyServer MyServer Original Any Any
Public Private Services
4 Any WAN Any Original Any Original X0 X1
Primary IP
策略 4 似乎是允许所有内部主机使用公共/WAN IP 访问互联网的一般规则。
策略 3 似乎允许传入连接访问服务器,这绝对是我需要的,因为这就是我想要实现的。
策略 2 似乎确保服务器服务的任何传出连接都映射到正确的 WAN IP 地址?如果我们只有一个 IP 地址,这有必要吗?如果没有此规则,服务器的出站连接不是只需使用规则 #4 进行映射吗?
策略 1 似乎匹配内部主机使用 WAN IP 访问服务器的尝试,并将 IP 地址映射回内部 IP 地址,从而阻止内部流量离开内部网络?对吗?如果是这样,考虑到内部网络具有 DNS 并且主机名将解析为我们网络上的私有 IP 地址,这样的规则有多重要。如果使用 SSLVPN 访问网络和访问服务,此规则会生效吗?
由于我们在此防火墙后面有多个服务器,因此我试图使策略屏幕尽可能整洁,并且如果策略 4 和我们的内部 DNS 服务器已经有效地覆盖了策略 1 和 2,则希望避免添加这些策略。我不希望我们获得额外的 IP 地址。
答案1
按照您列出的顺序:
政策4:你是正确的。
政策 3:你是正确的。
策略 2:您说得基本正确。如果您只有一个公共 IP,则所有流量都会通过 NAT 发送到该 IP。这是一条明确的规则,当您拥有一系列公共 IP 且不同的服务位于不同的 IP 上时,该规则非常有用。
策略 1:此规则是一条发夹式 NAT 规则,可将内部客户端重定向回私有 IP,如您所指出的。如果内部客户端使用的 DNS 服务器与您使用的 DNS 服务器不同,则它们将无法获取内部地址,而是获取公共 IP。这就是此规则的必要性所在。
您也许可以在没有政策 1 和 2 的情况下顺利度过难关,但如果您做出更改,那么以后可能就不值得这么麻烦了。