各位大大好
想問一下各位有沒有在Fortigate的policy上做過同一個Interface / Zone的時候做Port Forwarding然後中間要接一個SNAT的轉換呢? (如下圖)
當用戶由(192.168.1.1) 去找 (192.168.1.100)的時候會做一個port forwarding的動作(比如一個WAN IP 1.1.1.1 map 192.168.1.100) 然後 中間可能又要把Source可能換成1.1.1.2
這個想法好像是可行的 可是我沒有經驗 所以想問一下有大大有經驗可行嗎? 如果有多條要同時這樣子做 是否比較推薦使用Central NAT跟DNAT&VIP的功能呢?
您應該是client要連在同一LAN中server的對外IP(Forti稱為VIP,但我覺得這個名詞不是很好),192.168.1.100連1.1.1.1時Forti會把Src改成FW自己LAN的IP,Dst改成192.168.1.1轉給真正的server,所以192.168.1.1會回給FW的LAN IP,FW把Src改成1.1.1.1後再回給192.168.1.100,一般稱為NAT loopback,只要VIP/ACL有定義好是沒問題的....
看不出這樣做的用意在哪?
如果是在相同區域
192.168.1.1與.1.100不需要換IP通訊
特意穿過防火牆是為了什麼
(這不是hair-pin架構)
做資安檢核嗎?
完全不需要用到這樣架構呀
感覺有些奇怪
要不要找SI好好研究一下
不要自己硬扛呀