大家好,我直接说重点吧。我目前正在研究基于主机的防火墙的架构。
我的问题/痛点是,当在物理路由器上启用 LAN-LAN NAT 规则时,这些(基于主机的防火墙)会发生什么情况。因此,如果LAN1:机器 A想要联系LAN2:机器 B它将通过路由器R1并且此路由器源地址转换的 IP传入数据包从机器 A所以,机器 B永远不会知道机器 A 的 IP,这进一步意味着它无法为来自机器 A 的流量创建任何基于 IP 的规则。
这个问题有解决办法吗?我对 NAT 环境的理解正确吗?
=====问题=====
我有两台机器将网络活动日志发送到中央服务器,根据这些日志,我创建防火墙策略并将它们同步到端点。因此来自机器 A对于来自机器 A到机器 B将会有机器 A本地 IP,但当它接收到机器 B它将有路由器的 IP。因此,我从 A 和 B 收到的有关此连接的日志永远无法得到证实,我的策略也将无法发挥作用。
我正在寻找针对这种情况的解决方案/解决方法,我可以将路由器 IP 映射到原始源 IP,或者在机器 A 本身知道这个特定的传出数据包将获得路由器 IP 的 SNAT。