devbox
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

毕设快速入门 - 防火墙NAT技术、NAPT、NAT-Server、Easy-IP_防火墙easy-ip配置

作者:很楠不爱3 | 2024-04-20 23:23:18

防火墙easy-ip配置
 

 
 
NAT的作用:NAT 技术是用来解决当今IP地址资源枯竭的一种技术
 
 
NAT分类:
NAPT(Network Address and Port Translation,网络地址和端口转换)
 
 
NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,
 属于多对多或多对一转换,可以节约公网IP地址,使用场景较多。

 出接口地址 (Easy-IP
 因其转换方式非常简单,所以也被称为Easy-IP、
 和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。

NAT Server
 静态一对一发布,主要用于内部服务器需要对Internet提供服务时使用。
 

 

 

 
 
如图所示:我们在防火墙上设置NAT,一般情况下,将内网(Trust)区域使用NAPT或者Easy-IP;服务器(DMZ)区域使用NAT-Server技术
 

 

 

 

 

开始配置:
 

在开始之前我们要给防火墙和外网路由器配置缺省路由:
 

FW1(下一跳为公网地址)
 

ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
 

AR1(下一跳为公网地址)
 

ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
 

因为我们在防火墙上配置,所以还需要配置相应的区域(前面的课程有讲配置区域):
 

  1. [FW1]firewall zone dmz
  2. [FW1-zone-dmz]add int g 1/0/6
  3. [FW1-zone-dmz]q
  4. [FW1]firewall zone untrust 
  5. [FW1-zone-untrust]add int g 1/0/0
  6. [FW1-zone-untrust]q
  7. [FW1]firewall zone trust 
  8. [FW1-zone-trust]add int g 1/0/1
  9. [FW1-zone-trust]q
 

 

NAPT配置(二选一)
 

 
 

   先配置策略,允许Trust(内网)区域访问Untrust(外网)区域 
 
 

 

  1. [FW1]security-policy 
  2. [FW1-policy-security]rule name NAPT	
  3. [FW1-policy-security-rule-NAPT]source-zone trust 
  4. [FW1-policy-security-rule-NAPT]destination-zone untrust 
  5. [FW1-policy-security-rule-NAPT]action permit 
  6. [FW1-policy-security-rule-NAPT]q
  7. [FW1-policy-security]q
 

 
 
配置NAPT地址池(可以设置一个或者多个)
 

 

  1. [FW1]nat address-group NAPT
  2. [FW1-address-group-NAPT]section 0 10.10.10.1 
  3. [FW1-address-group-NAPT]mode pat        #指定模式为pat模式
  4. [FW1-address-group-NAPT]q
 

 
 
配置NAT策略
 

 

  1. [FW1]nat-policy 	
  2. [FW1-policy-nat]rule name NAPT
  3. [FW1-policy-nat-rule-NAPT]source-zone trust
  4. [FW1-policy-nat-rule-NAPT]destination-zone untrust 
  5. [FW1-policy-nat-rule-NAPT]action source-nat address-group NAPT
 

 

Easy-IP配置(二选一)
 

 
 
一样配置策略,允许Trust(内网)区域访问Untrust(外网)区域
 

 

  1. [FW1]security-policy 
  2. [FW1-policy-security]rule name easy_ip	
  3. [FW1-policy-security-rule-easy_ip]source-zone trust 
  4. [FW1-policy-security-rule-easy_ip]destination-zone untrust 
  5. [FW1-policy-security-rule-easy_ip]action permit 
  6. [FW1-policy-security-rule-easy_ip]q
  7. [FW1-policy-security]q
 

 
 
无需配置地址池,直接配置NAT策略
 

 

  1. [FW1]nat-policy 
  2. [FW1-policy-nat]rule name easy-ip
  3. [FW1-policy-nat-rule-easy-ip]source-zone trust 
  4. [FW1-policy-nat-rule-easy-ip]destination-zone untrust 
  5. [FW1-policy-nat-rule-easy-ip]action source-nat easy-ip 
 

 

NAT-Server(仅用于服务器地址转换)
 

 
 
防火墙上配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)
 

 

  1. [FW1]security-policy
  2. [FW1-policy-security]rule name untodmz	
  3. [FW1-policy-security-rule-untodmz]source-zone untrust
  4. [FW1-policy-security-rule-untodmz]destination-zone dmz 
  5. [FW1-policy-security-rule-untodmz]service ftp
  6. [FW1-policy-security-rule-untodmz]service http
  7. [FW1-policy-security-rule-untodmz]action permit 
  8. [FW1-policy-security-rule-untodmz]q
  9. [FW1-policy-security]q
 

 
 
 配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!
 

 

  1. [FW1]nat server ftp protocol tcp global 10.10.10.3 21 inside 192.168.2.2 21
  2. [FW1]nat server http protocol tcp global 10.10.10.3 80 inside 192.168.2.2 80
 

 

 
 
 OK!就是这样,不是很难,然后如何查询NAT是否转换成功
 

 

dis firewall session table  


                

        
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/459907
推荐阅读
相关标签
Copyright ©  2003-2013 www.wpsshop.cn  版权所有,并保留所有权利。

  
闽ICP备14008679号