Межсетевой экран на основе хоста в среде NAT

Привет, сразу к делу. В настоящее время я работаю над архитектурой межсетевого экрана на основе хоста.

Мой вопрос / болевой момент заключается в том, что происходит с этими (межсетевыми экранами на основе хоста), когда правила NAT LAN-LAN включены на физических маршрутизаторах. Итак, если LAN1: машина A хочет связаться с LAN2: Machine B, она будет проходить через маршрутизатор R1, а этот маршрутизатор с SNAT - IP-адрес входящего пакета от машины A, поэтому машина B никогда не узнает IP-адрес машины A, что также подразумевает что он не сможет создавать какие-либо правила на основе IP для трафика, поступающего с Машины A.

Есть решение этой проблемы? Правильно ли я понимаю среду NAT?

===== ПРОБЛЕМА =====

У меня есть две машины, которые отправляют журналы сетевой активности на центральный сервер, на основе этих журналов я создаю политики брандмауэра и синхронизирую их с конечными точками. Таким образом, журнал с машины A для пакета, идущего с машины A на машину B, будет иметь локальный IP-адрес машины A, но когда он будет получен на машине B, он будет иметь IP- адрес маршрутизатора. Следовательно, журналы, которые я получаю для этого подключения от A и B, никогда не будут оправданы, и мои политики не будут работать.

Я ищу решение / обходной путь для этого сценария, где я могу либо сопоставить IP-адрес маршрутизатора с исходным исходным IP-адресом, либо узнать на самой машине A, что этот конкретный исходящий пакет получит SNAT на IP-адрес маршрутизатора.

0 ответов

Другие вопросы по тегам