简单实现内网主机通过防火墙nat回环路由实现安全互访

时间:2021-08-28 14:19:54
内网主机之间可能被zone隔离,或者被中间路由器acl禁止相互访问,对指定的主机做单一静态nat映射,访问相同内网主机时,使用目的主机的全局地址,可以实现在防火墙出接口先将数据包交由ISP边缘路由器,再返回给防火墙的特殊效果。可能需要点到点链路子网掩码不同从而达到效果(防火墙/出接口掩码小于对端接口掩码),但模拟器在两端掩码相同的情况下仍然出现了相同的nat回包路由效果。通过nat来实现回包路由,实现内网主机使用全局地址通过防火墙安全互访,具体问题具体分析。类似的有多层交换机的上行链路重定向功能,重点在于一定要配置上行默认路由,并指向ISP边缘路由器接口的ip,从而使特性知道,哪里才是上行链路。也可以在在上行接口使用acl,是指定流量通过。