双向NAT问题 100

这么说吧：

①要实现，不管是外网区域、还是内网区域访问服务器192.168.100.100，都是通过访问1.1.1.1这个公网地址来访问。那么，肯定是要做双向地址转换的。

②要实现，只允许192.168.101.1访问服务器，那么，你在做完①之后，不要勾选页面最底下的“放通上述条件的数据，不受应用控制策略限制”。然后，去应用控制策略里面进行对应的访问控制

那现在来说说双向地址转换的这个配置界面。

首先要明确两个地方：
①源地址转换，是为了将访问服务器192.168.100.100的源IP都转换成192.168.101.1。所以，是要加一条SNAT的。

②目的地址转换，是为了通过公网IP 1.1.1.1的某个端口，来访问到内网地址192.168.100.100服务器的6666端口。

其实理解双向地址转换，就是理解源地址转换（SNAT，也叫代理上网）和目的地址转换（DNAT，如果不是全地址的转换，也叫端口映射）。

源：TCP连接的发起方，源转换成——有权限访问你的目的的某个地址

目的：你浏览器上发起连接的对象，目的转换成——真实为你提供服务的地址

       源端口：PC随机生成的访问端口，不定。所以没有体现

目的端口：你浏览器发起连接的对应IP的对应端口，目的端口转换成——真实为你提供服务的服务器的真实端口

饶大神出马，应该清晰了吧！实际上这个是对数据包进行了2次的转换，一次是目的转换，然后是源转换。

源区域选择内网和外网区域，这个没问题；目的区域得选择外网区域和内网区域，这个经测试过，单独选项外网区域，内网用户无法通过公网地址访问服务器，因为最终是访问内网区域的服务器ip；指定ip是公网ip即1.1.1.，协议和端口是访问公网地址的协议和端口，按你上面说的就是tcp，80。原理饶MM说的很对，但是源地址转换直接写指定ip192.168.101.1即内网随意ip的话测试是无法访问的，这个源地址必须指定为AF直连的某个口的可用地址。目的地址转换的话，就是真实服务器的ip和端口了。

看着有点懵