※ 引述《johnpson (正面 乐观)》之铭言： : 公司的firewall wan孔(GE2)介面上设定为 : 61.220.241.230 : 255.255.255.240 : 61.220.241.225 : 据我所知 : 这wan孔上面的线路有配给多个ip : 我看firewall的的NAT规则 : interface original ip mapped ip : GE2 61.220.241.226 172.X.X.1 : GE2 61.220.241.227 172.X.X.2 : GE2 61.220.241.229 172.X.X.3 : 我原以为NAT是把目的位为址61.220.241.230的封包 送到GE2介面 : 而firewall收到这些封包後再mapping到内部某个private ip : 可能我观念有误 : 有大大可以指点一下吗 : 为什麽GE2可以收不是61.220.241.230的封包呢 : 然後又再转送至内部private ip ISP会把目标位置是 61.220.241.224 /28 的所有封包，往 61.220.241.225 送 接着 61.220.241.225 会发ARP广播，询问譬如 61.220.241.229 的 mac address 一般来讲如果firewall 没有设定 NAT的话，它是不会应答的 可是因为你有在firewall 设定 61.220.241.229 <-> 172.X.X.3 所以他会回应这个ARP Request 於是 61.220.241.225 会把 IP dst address = 61.220.241.229 的封包 在 layer 2 封装时 dst mac address 改成 firewall mac address，之後传送出去 firewall 就会收到封包啦～ 以上是我的认知 有错请指正 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.135.46.199