标签: nat

我有一个由 XTM 连接到本地网络的外部静态 IP，我将能够在其上配置端口转发（比如 external:80 -> 10.0.1.43:80 和 external:2340 -> 10.0. 1.48:2340）。

如何在 Watchguard XTM 2 上执行此操作？

我要问的可能是微不足道的，但我真的需要理解，因为我的老师让我感到困惑！

那就是问题所在。我有 2 个专用网络

• 第一个是C类网络，地址是192.168.1.0/24（我称之为C1）

• 第二个是A类网络我在两个子网分为：10.1.0.0/16（A1）和10.2.0.0/16（A2）

现在我在A1和A2之间有一个路由器，在A2和C1之间有另一个。我已经配置了路由，以便数据包可以从 A1 到 A2 以及从 A2 到 C1。然后老师告诉我：“A1和A2之间的路由器是可以的，但是A2和C1不能通信，因为它们是不同的网络！你需要在那个路由器上设置NAT。”

这里有一个问题：为什么我必须在这里使用 NAT？我不明白为什么两个私有网络之间需要 NAT！

谢谢你的帮助

我们有 16 个来自 ISP 的 IP 地址，并且正在设置 SonicWall 防火墙。我想让 SonicWall 为 LAN 执行 NAT，但仅为使用 16 个地址中的一些地址的服务器充当防火墙（无 NAT）。我该如何设置？如果我将 WAN 的子网设置为包含 16 个 IP，则 SonicWall 不会将流量路由到 LAN 接口。我是否应该将 WAN 子网设置为仅包含我们专用于 NAT 的子网，然后将其他子网保留在 LAN 上？

相关要点：如何为 SonicWall LAN 接口设置多个 IP 地址？

澄清：服务器没有经过 NAT；他们直接使用他们的公共 IP。

我有非常复杂和长的 iptables 脚本。无法通过手动插入/替换或删除操作现有的 iptables 配置。我有一个脚本，它只是刷新所有规则和自定义链，然后从头开始重新加载所有内容。在某种程度上，这种方法效果很好。

我有很多敏感流量，比如封装到 IP 数据包中的 E1 线路等等。我不能放弃所有规则并重新插入它们，因为这太慢了。如果没有超过 50 毫秒的规则，很多东西都会中断。除此之外，一些高吞吐量流量进入部分恢复的防火墙，最终导致非常糟糕的 conntrack 条目，需要手动干预才能恢复功能。

解决方案是在当前的末尾附加新规则，然后删除旧规则，这在理论上可以导致连续的规则集就位。问题是，带有自定义链、ipset 等的脚本变得非常复杂且容易出错。

问题是 - 你知道任何现有的解决方案（iptables 之上的额外层），它处理我在这里提到的问题？

提前致谢。

我有 2 个使用 2 个 ADSL 路由器的 Internet 链接，我需要为 192.168.0.0/24 网络提供 Internet 访问权限。

我必须根据端口号、协议……在 Linux 路由器上使用 iproute2 和 iptables 来路由传出流量。

这是我的网络：

     (ISP-1)                              (ISP-2)
Dynamic public IP                    Dynamic public IP 
        |                                    |
+---------------+                    +---------------+
|ADSL Router (1)|                    |ADSL Router (2)|
+---------------+                    +---------------+
        |                                    |
   192.168.1.1                          192.168.2.1
        |                                    |
        |                                    |
        |                                    |
        |        +------------------+        |
        |        |                  |        |
   192.168.1.2 --|eth1          eth2|-- 192.168.2.2
                 |                  |
                 |   Linux Router   |
                 |                  |
                 |       eth0       |
                 +------------------+
                          |
                     192.168.0.1
                          |
                          |
                    Local Network: …

到目前为止，我们的 NAT 服务器已经失败了 3 次 - 一次是由于它的 EIP 问题，两次是由于它的主机受 CPU 限制。虽然我理解这些事情会发生，但我们不能继续停电。我们如何为我们的 VPC 实施冗余的、有弹性的 NAT 解决方案？例如，是否可以使用多个 NAT 服务器？

我的 VPC（亚马逊虚拟私有云）由 2 个子网组成，1 个公有和 1 个私有。私有子网中的实例通过公有子网中的 NAT 服务器路由。据我所知，每个 VPC 只能有 1 个 NAT 服务器。

有什么方法可以让不支持 IPv6 的应用程序继续在只有 IPv6 连接的主机上工作？

主机的 IPv4 实现可以知道这个问题，只需将 IPv4 地址封装在 IPv6 标头中（如 0::ffff:[ipv4]?），但是这些包在哪里转换为真正的 IPv4 数据包？

当前的操作系统是否已经为仅支持 IPv4 的应用程序提供了这种功能？提供商的 NAT64 或其他网关是否能够提供所需的功能？

如果提供商未使用 NAT64 的标准前缀 (64:FF9B::/96)，则如何确定实际前缀？操作系统和网络堆栈会处理所有这些吗？

当应用程序已经知道 IPv6，但仍想与 IPv4 主机通信时，这是如何工作的？前缀在哪里确定，在网络堆栈中，还是应用程序必须处理？

我正在尝试通过其公共 IP 地址访问 LAN 上的服务器。外部客户端可以正常连接，但我无法从 LAN 内部连接。还有就是在我的网关（这相当于子网地址的公共接口IP，但在其他方面）的NAT设置一个单独的规则，但它似乎没有正常工作。

我将如何正确设置以通过公共 IP 地址访问本地资源？

我的组织正在为一个非常大的应用程序项目在托管服务提供商处设置新网络。由于整个系统使用 Active Directory，我们计划在那里使用一对域控制器，通过 VPN 复制到我们的总部。这些 DC 还可以作为我们现有系统的备份，因此我们可能会在总部完全失去连接或电源，而远程系统可以保持运行并仍然让人们登录。

我们的托管服务提供商已将 10.180.87.0/24 设置为我们的子网以供他们使用。但是因为我们的内部 IP 是 192.168.1.0/24 并且他们已经在使用它，所以他们需要我们 NAT 到 192.168.50.0/24。这部分不是什么大问题，可以使用我们的 Watchguard 防火墙设备轻松设置。

麻烦的第一个迹象是当我将两台服务器放在域上时，它们根本无法连接或找到域。我最终将 DOMAIN.LAN 的 NAT 后地址放入两台服务器上的主机文件中。然后他们就能够找到并加入域。

然而，让它们成为域控制器一直是一个问题。当他们尝试使用“RPC 服务器不可用”设置所有复制时，他们一直通过设置，然后失败并显示错误。我知道域已正确准备，上周我做了所有准备工作以将新服务器提升到 DC，以替换一台运行良好的旧机器。

我怀疑 NAT 是问题所在，服务器正在尝试使用 NAT 前的地址进行设置。我们的提供商希望我们重新映射我们的 IP 方案以适应他们的网络，我对这个想法并不十分满意。我们正在考虑的一种选择是在 192.168.50.0/24 上创建服务器和网络，并使用站点间复制从 10.180.87.0/24 到 192.168.50.0/24 到 192.168.1.0/24（尽管这可能会造成网络混乱） config-wise 来弄清楚。）但我不完全相信这是否能解决问题。DMZ 是另一种选择，但在我尝试让我们的提供商进行设置之前，需要更多地研究它。

有没有人有过类似设置或在远程连接上设置 DC 的替代方法的经验？

我想对我的数据中心中的某组服务器进行 NAT，以便它们都从一个 IP 访问客户端。这将使我们为客户提供的文档变得更加容易。

然而，在给定的服务器和客户端之间会有大量数据传输，所以我不想让所有流量淹没单个代理机器。在这种情况下我能做什么？