Re: [問答] firewall上NAT問題
※ 引述《johnpson (正面 樂觀)》之銘言:
: 公司的firewall wan孔(GE2)介面上設定為
: 61.220.241.230
: 255.255.255.240
: 61.220.241.225
: 據我所知
: 這wan孔上面的線路有配給多個ip
: 我看firewall的的NAT規則
: interface original ip mapped ip
: GE2 61.220.241.226 172.X.X.1
: GE2 61.220.241.227 172.X.X.2
: GE2 61.220.241.229 172.X.X.3
: 我原以為NAT是把目的位為址61.220.241.230的封包 送到GE2介面
: 而firewall收到這些封包後再mapping到內部某個private ip
: 可能我觀念有誤
: 有大大可以指點一下嗎
: 為什麼GE2可以收不是61.220.241.230的封包呢
: 然後又再轉送至內部private ip
ISP會把目標位置是 61.220.241.224 /28 的所有封包,往 61.220.241.225 送
接著 61.220.241.225 會發ARP廣播,詢問譬如 61.220.241.229 的 mac address
一般來講如果firewall 沒有設定 NAT的話,它是不會應答的
可是因為你有在firewall 設定 61.220.241.229 <-> 172.X.X.3
所以他會回應這個ARP Request
於是 61.220.241.225 會把 IP dst address = 61.220.241.229 的封包
在 layer 2 封裝時 dst mac address 改成 firewall mac address,之後傳送出去
firewall 就會收到封包啦~
以上是我的認知
有錯請指正
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.135.46.199
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
Network 近期熱門文章
PTT數位生活區 即時熱門文章
