【2022争霸赛*干货满满】内网终端没有网关时跨网段访问需求的实现

客户需求

清早客户打来电话：阳工啊，我们有这么个需求你看下能不能实现？就是我们内网环境为了让用户不能上网没有给用户配网关，但是需要内网机器能向外网集团的服务器传输数据。

问题分析

内网要上外网，通常就是做路由打通、源地址转换，但是网关都没有，访问其他网段时电脑上的数据包都没法路由呀，是不是没办法了呢？提出让客户加网关的方案吗？否定客户的“奇葩”需求吗？

思考

...

解决方案

使用目的地址转换，在防火墙上新增个地址172.16.100.20用于地址转换，通过让内网用户直接访问通网段的防火墙接口地址，将客户端防护该接口地址的目的地址转换为外网服务器的地址，再在服务区侧将路由回指到防火墙wan口，即可实现内网无网关也能访问外网服务器。

防火墙上配置

抓包查看数据流，需要我们能掌控WAN区域，否则没有回指路由无法完成路由闭环。

事后思考    

最开始是没有想到目的地址转换的，记住的是内网访问外网用源地址转换，路由直接打通不做转换也可以，外网访问内网用目的地址转换，结果碰到这种“奇怪”需求时就差点跟客户说没法实现了，这是知识运用的不够灵活导致的，需要把内网外网这种传统说法转换为区域的概念。                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   

感谢楼主分享，文章灵活运用地址转换解决了跨网段业务互访的需求，期待楼主带来更多案例分享

学习一下，感谢楼主分享

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享