iT邦幫忙

1

請教Fortigate上SNAT與DNAT同時使用

  • 分享至 

  • xImage

各位大大好

想問一下各位有沒有在Fortigate的policy上做過同一個Interface / Zone的時候做Port Forwarding然後中間要接一個SNAT的轉換呢? (如下圖)

當用戶由(192.168.1.1) 去找 (192.168.1.100)的時候會做一個port forwarding的動作(比如一個WAN IP 1.1.1.1 map 192.168.1.100) 然後 中間可能又要把Source可能換成1.1.1.2

這個想法好像是可行的 可是我沒有經驗 所以想問一下有大大有經驗可行嗎? 如果有多條要同時這樣子做 是否比較推薦使用Central NAT跟DNAT&VIP的功能呢?

https://ithelp.ithome.com.tw/upload/images/20250110/20171411yoANF67YdO.png

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
cmwang
iT邦大師 1 級 ‧ 2025-01-11 17:47:08

您應該是client要連在同一LAN中server的對外IP(Forti稱為VIP,但我覺得這個名詞不是很好),192.168.1.100連1.1.1.1時Forti會把Src改成FW自己LAN的IP,Dst改成192.168.1.1轉給真正的server,所以192.168.1.1會回給FW的LAN IP,FW把Src改成1.1.1.1後再回給192.168.1.100,一般稱為NAT loopback,只要VIP/ACL有定義好是沒問題的/images/emoticon/emoticon07.gif....

0
mytiny
iT邦超人 1 級 ‧ 2025-01-11 18:54:20

看不出這樣做的用意在哪?
如果是在相同區域
192.168.1.1與.1.100不需要換IP通訊
特意穿過防火牆是為了什麼
(這不是hair-pin架構)
做資安檢核嗎?
完全不需要用到這樣架構呀
感覺有些奇怪
要不要找SI好好研究一下
不要自己硬扛呀

其實這個是客人那邊的要求 我大概猜他是想一方面做資安檢核? 另一方面是想當成一個POC的型式去試一下那些rules?/images/emoticon/emoticon28.gif

我要發表回答

立即登入回答