双向NAT问题 100

小弟愚昧，最近被双向NAT搞混了。谁可以帮忙解释一下双向NAT的各个设置按钮的意思？

或者我举个例子吧。

假设客户在内网区域有一台服务器，IP是192.168.100.100，服务端口是6666，出于安全考虑，客户只允许内网192.168.101.1这个地址访问服务器，然后客户希望不管内网还是外网用户，都直接通过输入公网地址http://1.1.1.1，就能正常访问这台服务器。。。。

我理解的数据走向思路是：（好混乱，求大神指点迷津）

既然用户不管是内网或者外网用户都直接通过公网IP就能直接访问服务器，那么源数据的流向就是内网IP+外网地址，跳板就是公网地址。目的就是服务器IP 地址（又因为服务器做了访问限制，只允许192.168.101.1这个地址访问，那么这里的目的地址就应该是192.168.101.1而不是192.168.100.100）。所以第一个红框的源区域就是外网区域+内网区域，IP组是所有，第二个红框的目的区域也是内网区域（因为192.168.101.1也是内网区域），第三个红框的跳板IP就是公网IP1.1.1.1，第四个红框的协议和端口号，是指数据从源区域访问目的区域是通过什么协议和多少的端口。根据客户需求，这里应该填TCP协议，端口号是80（因为http的端口号是80），第五个红框的源地址转换，个人理解是外网+内网的数据都是通过公网IP1.1.1.1去访问服务器，所以这里应该填出接口地址，或者指定1.1.1.1。。。。。第六个红框目的地址转换，指的是你源地址去到跳板IP后（或者说你的源地址转换为公网IP后），要转换成什么地址。客户希望实现的功能是通过http://1.1.1.1就能直接访问服务器，那么我们源地址转换后，最终希望到达的就是服务器IP（又因为服务器做了访问限制，只允许192.168.101.1这个地址访问，那么我们希望数据最终到达的应该是192.168.101.1而不是192.168.100.100），所以目的地址转换就是填写你希望源数据最终到达的IP，端口转换为6666（因为客户使用的是6666端口号）

这么说吧：

①要实现，不管是外网区域、还是内网区域访问服务器192.168.100.100，都是通过访问1.1.1.1这个公网地址来访问。那么，肯定是要做双向地址转换的。

②要实现，只允许192.168.101.1访问服务器，那么，你在做完①之后，不要勾选页面最底下的“放通上述条件的数据，不受应用控制策略限制”。然后，去应用控制策略里面进行对应的访问控制

那现在来说说双向地址转换的这个配置界面。

首先要明确两个地方：
①源地址转换，是为了将访问服务器192.168.100.100的源IP都转换成192.168.101.1。所以，是要加一条SNAT的。

②目的地址转换，是为了通过公网IP 1.1.1.1的某个端口，来访问到内网地址192.168.100.100服务器的6666端口。

其实理解双向地址转换，就是理解源地址转换（SNAT，也叫代理上网）和目的地址转换（DNAT，如果不是全地址的转换，也叫端口映射）。

源：TCP连接的发起方，源转换成——有权限访问你的目的的某个地址

目的：你浏览器上发起连接的对象，目的转换成——真实为你提供服务的地址

       源端口：PC随机生成的访问端口，不定。所以没有体现

目的端口：你浏览器发起连接的对应IP的对应端口，目的端口转换成——真实为你提供服务的服务器的真实端口

饶大神出马，应该清晰了吧！实际上这个是对数据包进行了2次的转换，一次是目的转换，然后是源转换。

源区域选择内网和外网区域，这个没问题；目的区域得选择外网区域和内网区域，这个经测试过，单独选项外网区域，内网用户无法通过公网地址访问服务器，因为最终是访问内网区域的服务器ip；指定ip是公网ip即1.1.1.，协议和端口是访问公网地址的协议和端口，按你上面说的就是tcp，80。原理饶MM说的很对，但是源地址转换直接写指定ip192.168.101.1即内网随意ip的话测试是无法访问的，这个源地址必须指定为AF直连的某个口的可用地址。目的地址转换的话，就是真实服务器的ip和端口了。

看着有点懵