拓扑如下,管理员将防火墙配置为对内部服务器 1 和服务器 2 进行 NAT,以便为 Internet 用户 (R1) 提供服务。并且服务器 1 被允许访问互联网,但服务器 2 不被允许。配置完成后,admin发现server 1和server 2都可以上网。
图 1:NAT 案例的拓扑
根据以上结果,服务器 2 被排除在 NAT 策略之外。
结果显示服务器 2 包含在 NAT 服务器范围内,并且管理员没有为 NAT 服务器配置启用 no-reverse 功能。
在 USG 防火墙上配置 NAT 服务器时,设备会为每个服务器 NAT 表项生成两个 server-map 表项。
反向 server-map 条目允许 Intranet 服务器在不被 Internet 用户访问的情况下启动会话。另一方面,设备会将流量与源 NAT 策略之前的服务器映射表进行匹配。
因此,当服务器 2 发起 ping 会话时,流量将匹配反向 server-map 条目并生成会话表条目,并跳过 NAT 策略中的拒绝条目。
图 2. 反向服务器映射条目允许意外流量。
取消已配置的 NAT 服务器配置,然后重新配置。为服务器 2 配置 NAT 服务器时,添加 no-reverse 参数,就像下面的例子:
[FW1] nat server global 1.1.1.4 inside 10.1.1.3 no-reverse