Azure Firewall 實現SNAT

    下邊來看SNAT怎麼實現，SNAT的配置方法和DNAT是不同的，DNAT能夠直接在FW上配置，SNAT咱們能夠經過UDR實現，若是想讓全部出站流量都通過FW，咱們能夠經過UDR配置默認路由的出口爲FW，這樣訪問internet的流量就必需要走FW了

    首先來看下FW作DNAT時對IP的改寫，從家裏電腦curl到FW IP

   

    在Nginx log裏能夠看到源IP會是FW的IP，也就是說在作DNAT時，FW會重寫請求的源IP

    而若是curl 服務器的公網IP

    Log裏會看到源IP是客戶端的公網IP

    

    從各個region curl到web服務器公網IP，包括FW的VNET和peer的VNET

直接Curl web服務器公網IP，看到的源IP都是服務器的公網IP，說明出站是直接走到internet，不通過FW，沒有SNAT

    下邊來看SNAT怎麼配置，首先在各個region建立UDR

添加默認路由到FW

    關聯到各個subnet中

    以後嘗試從VM 繼續curl到web服務器，會發現流量被FW拒絕了，由於沒有出站的容許規則

    解決這個問題能夠在FW上開通網絡規則

 

    10.88網段的能夠curl www.baidu.com

    

    不在88網段的就不行

    再次添加其餘網段的網絡規則

    嘗試單獨再添加linux2所在網段的規則

    再次嘗試，能夠鏈接，DNAT就簡單實現了