BIG-IP / 网络工程 · 27 6 月, 2024 0

BIG-IP同时设置SNAT和防火墙时遇到的坑

发生什么了

配置一台BIG-IP,同时用到了SNAT和防火墙功能。防火墙设置的是permit规则,源地址设置为SNAT变换后的地址。结果实际进行连通测试时防火墙没有生效,流量还是被拦截了。

原因及解决办法

和某些网络设备不同,BIG-IP在同一个RD(Route Domain)中同时设置了防火墙和NAT时,是防火墙先发挥作用,然后才是NAT。

所以在设置防火墙规则时,规则的源地址必须设置为未经SNAT变换的地址防火墙才会生效。