如何确保防火墙不会将任何外部数据包传递到 LAN?

如何确保防火墙不会将任何外部数据包传递到 LAN?

我的想法是否正确,在 NAT 和正确的防火墙配置的情况下,应该看不到任何“源地址”等于 LAN 内的全局 IP 的包?

或者 NAT 服务器在转换时会保留源地址?

我观察到 LAN 内有多个来自“源地址”的数据包指向全局 IP。这是否意味着防火墙设置不正确?

答案1

NAT 并不一定意味着它在所有接口上执行。它可以,但在消费级路由器上通常只有两种类型的转换(简化):

  • 将传出数据包的源地址替换为路由器的外部地址
  • 将传入数据包上的目标地址替换为实际目标的内部地址(如果它是相关数据包)

这意味着实际接收者确实看到数据包来自外部来源。

相关内容