迪普防火墙SNAT策略配置问题

张开发
2026/4/18 1:37:23 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

迪普防火墙SNAT策略配置问题
迪普防火墙FW1000如下报错并且公网ip无法ping通未做任何限制一直想不出来啥毛病然后某映射服务器经常也访问异常防火墙外网抓包如下有意思的是它匹配到了一条内网设备的DNAT会话但是这条DNAT条目我并未配置打400电话 400看了一遍说SNAT策略配置造成了该问题原配置截图故障原因解释NAT设备转换之后建立一个转换后IPport与发起方IPport的映射关系在老化期内任何位于转后IP侧的IP都可以通过访问该转换后IPport发送流量至发起方IPport ping公网IP的流量命中圆锥nat的表项了执行了目的转换其余情况比如映射了一个大于1024端口的DNAT它也会导致SNAT接口冲突导致原DNAT业务异常。简单来说圆锥型NAT和对称型NAT的核心区别在于端口映射的“复用”规则。圆锥型NAT会为同一个内网会话IP和端口复用一个固定的公网端口而对称型NAT则会为每一个不同的通信目标分配一个全新的端口。圆锥型NAT就像用一把“通用钥匙”可以打开通往多个外部服务器的通道无论跟谁通信暴露在外部的“门牌号”公网IP和端口都是同一个。它可细分为安全要求逐级提高的完全、地址限制和端口限制锥形三种类型。对称型NAT更像是用一把“一次性钥匙”每访问一个不同的外部服务器它都会换一个新端口如同一间屋子为了不同客人打开不同的门。这种设计显著提高了安全性。为了更清晰地说明两者的区别可以看看它们在主要维度上的对比NAT类型的选择本质上是在易用性和安全性之间做权衡。圆锥型NAT尤其是全锥型为P2P应用和游戏联机提供了最大便利而对称型NAT则代表着当前网络环境中最高的安全等级。解决方案将SNAT类型从圆锥NAT改为对称NAT并非一对一NAT已有会话不会中断会话过期或者新建会话将匹配新的SNAT策略,所以大胆修改。这个时候由于原来192.168.10.25的ICMP会话还有需要将对应ICMP会话删除外网就能PING通在这里删除会话

更多文章