Azure防火墙怎么实现SNAT-创新互联

SNAT,是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址。

企业建站必须是能够以充分展现企业形象为主要目的,是企业文化与产品对外扩展宣传的重要窗口,一个合格的网站不仅仅能为公司带来巨大的互联网上的收集和信息发布平台,创新互联公司面向各种领域:成都电动窗帘网站设计成都营销网站建设解决方案、网站设计等建站排名服务。

SNAT,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网的数据包发到公网IP后,公网IP会给你的私网IP回数据包,这时,公网IP根本就无法知道你的私网IP应该如何走了。所以问它上一级路由器,当然这是肯定会失败的,因为从公网上根本就无法看到私网IP,因此你无法给他通信。为了实现数据包的正确发送及返回,网关必须将A的址转换为一个合法的公网地址,同时为了以后B主机能将数据包发送给A,这个合法的公网地址必须是网关的外网地址,如果是其它公网地址的话,B会把数据包发送到其它网关,而不是A主机所在的网关,A将收不到B发过来的数据包,所以内网主机要上公网就必须要有合法的公网地址,而得到这个地址的方法就是让网关进行SNAT(源地址转换),将内网地址转换成公网址(一般是网关的外部地址),所以大家经常会看到为了让内网用户上公网,我们必须在routeros的firewall中设置snat,俗称IP地址欺骗或伪装(masquerade)。

下边来看SNAT怎么实现,SNAT的配置方法和DNAT是不一样的,DNAT可以直接在FW上配置,SNAT我们可以通过UDR实现,如果想让所有出站流量都经过FW,我们可以通过UDR配置默认路由的出口为FW,这样访问internet的流量就必须要走FW了

首先来看下FW做DNAT时对IP的改写,从家里电脑curl到FW IP

Azure 防火墙怎么实现SNAT

在Nginx log里可以看到源IP会是FW的IP,也就是说在做DNAT时,FW会重写请求的源IP

Azure 防火墙怎么实现SNAT

而如果curl 服务器的公网IP

Azure 防火墙怎么实现SNAT

Log里会看到源IP是客户端的公网IP

从各个region curl到web服务器公网IP,包括FW的VNET和peer的VNET

直接Curl web服务器公网IP,看到的源IP都是服务器的公网IP,说明出站是直接走到internet,不经过FW,没有SNAT

下边来看SNAT怎么配置,首先在各个region创建UDR

Azure 防火墙怎么实现SNAT

添加默认路由到FW

Azure 防火墙怎么实现SNAT

关联到各个subnet中

Azure 防火墙怎么实现SNAT

之后尝试从VM 继续curl到web服务器,会发现流量被FW拒绝了,因为没有出站的允许规则Azure 防火墙怎么实现SNAT

解决这个问题可以在FW上开通网络规则

Azure 防火墙怎么实现SNAT

 

10.88网段的可以curl www.baidu.com

    

 不在88网段的就不行

Azure 防火墙怎么实现SNAT

    再次添加其他网段的网络规则Azure 防火墙怎么实现SNAT

尝试单独再添加linux2所在网段的规则Azure 防火墙怎么实现SNAT

再次尝试,可以连接,DNAT就简单实现了

Azure 防火墙怎么实现SNAT

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


名称栏目:Azure防火墙怎么实现SNAT-创新互联
网页地址:http://myzitong.com/article/eidcg.html