Привет, сразу к делу. В настоящее время я работаю над архитектурой межсетевого экрана на основе хоста.
Мой вопрос / болевой момент заключается в том, что происходит с этими (межсетевыми экранами на основе хоста), когда правила NAT LAN-LAN включены на физических маршрутизаторах. Так что если LAN1: машина A хочет связаться LAN2: машина B он пойдет через роутер R1 и этот роутер с SNAT IP входящий пакет из Машина А следовательно, Машина B никогда не узнает IP-адрес машины A, что также подразумевает, что он не сможет создавать какие-либо правила на основе IP для трафика, поступающего с машины A.
Есть решение этой проблемы? Правильно ли я понимаю среду NAT?
===== ПРОБЛЕМА =====
У меня есть две машины, которые отправляют туда журналы сетевой активности на центральный сервер, на основе этих журналов я создаю политики брандмауэра и синхронизирую их с конечными точками. Итак, журнал из Машина А для пакета, идущего от Машина А к Машина B будет Машина А локальный IP, но когда он получен на Машина B у него будет IP роутера. Следовательно, журналы, которые я получаю для этого подключения от A и B, никогда не будут оправданы, и мои политики не будут работать.
Я ищу решение / обходной путь для этого сценария, в котором я могу либо сопоставить IP-адрес маршрутизатора с исходным исходным IP-адресом, либо узнать на самой машине A, что этот конкретный исходящий пакет получит SNAT на IP-адрес маршрутизатора.