在基于策略的动态 NAT 中,XTM 设备将专用 IP 地址映射到公用 IP 地址。 在每个策略的默认配置中,动态 NAT 均处于启用状态。 如果之前没有禁用它,则不必进行启用操作。
要使基于策略的动态 NAT 正确执行,使用编辑策略属性对话框的策略选项卡,以确保将策略配置为只允许流量通过一个 XTM 设备接口传出。
1-to-1 NAT 规则优先于动态 NAT 规则。 基于策略的动态 NAT 优先于网络动态 NAT。
要在策略中配置动态 NAT 设置:
如果选择此策略中的所有流量,XTM 设备会将由此策略处理的每个数据包的源 IP 地址更改为发出该数据包的接口的主 IP 地址,或者在网络动态 NAT 设置中配置的源 IP 地址。 您可以选择为由此策略处理的流量设置其他动态 NAT 源 IP 地址。
要设置策略中的源 IP 地址:
选择源 IP 地址时,任何使用此策略的流量都会将公用或外部 IP 地址范围内的指定地址显示为源地址。 这最常用于当 XTM 设备外部接口的 IP 地址与 MX 记录的 IP 地址不相同时,强制传出的 SMTP 流量将您的域显示为 MX 记录的地址。
如果在 XTM 设备上配置了多个外部接口,则我们建议您不使用设置源 IP 选项。 如果在策略中使用设置源 IP 选项,那么在策略设置中不要为故障转移启用基于策略的路由。
有关动态 NAT 源 IP 寻址选项的详细信息,请参阅关于动态 NAT 源 IP 地址。
在每个策略的默认配置中,动态 NAT 均处于启用状态。 为策略禁用动态 NAT: