关于防火墙映射回流的一些见解
场景:防火墙的 外网接口 GE1 、内网接口GE2
根据TCP三次握手的规则,GE2接口下的内网某个主机发起请求,目的地址是公网IP,该请求被防火墙GE2口接收到后匹配防火墙的路由表流量到达GE1口,防火墙根据GE1口的映射表把请求包的目的地址转换为GE2口下的内网服务器IP,再匹配路由表后把该请求包从GE2口发送出去,此时GE2口的内网服务器收到防火墙发来的请求包的源地址依然是内网某主机的IP,内网服务器就会给这个主机直接回复应答包(不经过防火墙)。
内网主机收到的应答包的源地址与发起时的请求包的目的地址不同,因此导致TCP三次握手失败。
要解决这个问题,可以让应答包从防火墙周转一下或者让请求包不经过防火墙。
我一般是在GE2口上配置源地址转换,仅当源地址与目的地址均为该接口下的IP时才进行源地址转换。
一点个人见解作个笔记,欢迎指正。...