在FortiGate设备上进行端口映射操作的时候,在端口映射的策略中,有个选项是是否开启NAT,如下图中红框处:
图1. 端口映射中的NAT选项
不管是否开启NAT选项,映射的端口都能正常工作,那么它们的区别是什么呢?
- 启用 NAT:
- 当你启用 NAT 时,FortiGate 会在端口映射的过程中执行地址转换。这意味着外部用户访问映射的外网地址时,FortiGate 会将外网地址转换为内部服务器的实际 IP 地址。
- NAT 可以隐藏内部网络的真实 IP 地址,提高安全性,同时允许多个内部服务器共享相同的外网地址。
- 不启用 NAT:
- 如果你不启用 NAT,那么外部用户访问映射的外网地址时,FortiGate 不会执行地址转换。外网地址将直接映射到内部服务器的实际 IP 地址。
- 这样可以避免地址转换的开销,但同时也暴露了内部服务器的真实 IP 地址。
总之,启用 NAT 可以提高安全性并隐藏内部网络的真实 IP 地址,但会增加一些性能开销。不启用 NAT 则直接将外网地址映射到内部服务器,适用于某些特定场景。
在某些时候,我们进行调试或者信息采集的时候 ,需要取得外部访问的客户端的IP地址,就必须关闭NAT,比如下面的情况,在登录的时候:
-
开启了端口映射的NAT功能时,日志中记录的IP地址是防火墙的IP地址:
图2. 开启端口映射的NAT功能,只能取得防火墙的IP地址 -
关闭端口映射的NAT功能时,日志中可以记录外部访问客户端的真实IP地址:
图3. 关闭端口映射的NAT功能时,能取得客户端的真实IP地址
