在 2 层防火墙中，如何配置以便只有第 1 层执行 NAT

我们最近进行了网络内部升级，添加了一个防火墙作为第一层防火墙，并将当前的防火墙设为第二层。设置如下：

WAN <--> 第 1 层防火墙 <--> 中间 LAN <--> 第 2 层防火墙 <--> 内部 LAN

还有其他网络，如 DMZ、Wifi 访客等，上面没有显示。中间 LAN 只是 2 个防火墙之间的单个连接，没有服务器或工作站连接到它。上述网络的 IP 为：

中级局域网：192.168.100.x/24

内部局域网：（192.168.50.x/24服务器场）和192.168.40.x/24（工作站）

我们已制定政策以启用从服务器场和工作站到 WAN 的浏览和各种网络流量。Web 过滤在第一层防火墙上完成。

现在我们面临的问题是，我们需要在第一层和第二层防火墙上打开 NAT，才能进行网页浏览。如果我们关闭第二层的 NAT，我们可以 ping 外部 IP（ISP DNS、Google DNS），但域名无法解析，因此无法进行网页浏览。当我们检查第一层防火墙上的日志时，DNS 数据包确实允许通过，但工作站和服务器仍然无法解析域名。

由于第一层防火墙正在执行 Web 过滤，如果启用了 NAT，我们希望执行报告或任何日志显示原始工作站 IP，而不是第二层防火墙的 IP。我们还希望通过不安装 NAT 来减少第二层防火墙的负载。

我们需要做哪些改变才能使其仅通过 1 层 NAT 工作？

编辑：抱歉造成混淆，基本上我们只是想知道上述问题的通用解决方案，例如将服务器/工作站网络地址添加到第一层接口，或在第二层有特定的静态路由，或者我们不应该有一个中间 LAN 等等。我们认为没有仅适用于特定品牌防火墙的特定配置

编辑：第一层是 Astaro，第二层是 FortiGate。Fortigate 的 LAN 端口上配置了 3 个 VLAN，服务器为本机，工作站和打印机位于 2 个单独的 VLAN 中。目前我们只关注服务器。有一个策略允许所有流量从服务器到 Astaro 的 LAN 端口。此策略启用了 NAT。在 Astaro 上，有 2 个策略允许 DNS 和 HTTP 的 LAN 到 WAN。浏览正常。但如果服务器->Astaro 策略的 NAT 关闭，我们无法解析服务器上的外部域名。无论 NAT 如何，我们始终可以 ping 外部 IP（例如 8.8.8.8）或 ISP 的 DNS。