当前位置:   article > 正文

NAT配置之双向NAT详解

双向nat

注意:一般出口防火墙会配置一条默认路由到运营商!!!运营商那边也是一样的道理!!!

既然有了源NAT以及目的NAT,那么如果将两者结合起来,对“同一流”同时转换源目地址,这就是双向NAT,不可以简单理解成同时配置了源NAT、目的NAT就是双向NAT,双向NAT主要用于以下两种场景。

一、公网用户访问内部服务器

前提:私网服务器与防火墙源NAT地址池必须在同一个网段!!!

  1. [USG]firewall zone dmz
  2. [USG-zone-dmz]add interface g1/0/0
  3. [USG-zone-dmz]firewall zone untrust
  4. [USG-zone-untrust]add interface g1/0/1
  5. [USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
  6. route
  7. [USG]display firewall server-map
  8. 2023-12-25 12:49:48.860
  9. Current Total Server-map : 2
  10. Type: Nat Server, ANY -> 198.51.100.2:9980[192.168.1.2:80], Zone:---, protoc
  11. ol:tcp
  12. Vpn: public -> public
  13. Type: Nat Server Reverse, 192.168.1.2[198.51.100.2] -> ANY, Zone:---, protoc
  14. ol:tcp
  15. Vpn: public -> public, counter: 1
  16. [USG]nat address-group addressgroup1
  17. [USG-address-group-addressgroup1]mode pat
  18. [USG-address-group-addressgroup1]section 0 192.168.1.5 192.168.1.10
  19. [USG-address-group-addressgroup1]q
  20. [USG]nat-policy
  21. [USG-policy-nat]rule name policy_nat1
  22. [USG-policy-nat-rule-policy_nat1]source-zone untrust
  23. [USG-policy-nat-rule-policy_nat1]destination-zone dmz
  24. [USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
  25. [USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
  26. [USG-policy-nat-rule-policy_nat1]q
  27. [USG-policy-nat]q
  28. [USG]security-policy
  29. [USG-policy-security]rule name policy1
  30. [USG-policy-security-rule-policy1]source-zone untrust
  31. [USG-policy-security-rule-policy1]destination-zone dmz
  32. [USG-policy-security-rule-policy1]destination-address 192.168.1.2 32
  33. [USG-policy-security-rule-policy1]service http
  34. [USG-policy-security-rule-policy1]action permit
  35. [USG-policy-security-rule-policy1]q
  36. [USG-policy-security]q
  37. [USG]ip route-static 0.0.0.0 0 198.51.100.253

  1. [USG]display firewall session table
  2. 2023-12-25 12:58:38.630
  3. Current Total Sessions : 1
  4. http VPN: public --> public 203.0.113.2:2051[192.168.1.9:2049] --> 198.51.100
  5. .2:9980[192.168.1.2:80]

三个点:①配置黑洞路由,unr-route;②源NAT地址池地址段为私网地址,而不是公网地址;③安全策略的目的地址是服务器的私网地址,因为先执行了NAT-Server,再进行源NAT转换。

为什么有了NAT-SERVER,还需要双向NAT呢? 

原因在于,源NAT地址池的地址段是私网地址,且与服务器私网地址属于同一个网段,服务器收到转换后的报文,发现源地址与自己属于同一网段,那么回应报文时,就不会查路由,而是发出ARP广播报文询问此地址的MAC地址,防火墙会回应,服务器就将回应报文发给防火墙。

私网服务器不用查路由,总得来说,就是不需要配置网关,如果有很多服务器要修改网关,这时候双向NAT就方便了。

二、私网用户访问内部服务器

这种主要是小型网络,服务器和私网用户同属一个安全区域,且处于同个网络。

现在,私网用户想通过公网IP:198.51.100.2访问私网服务器,除了要配置NAT Server之外,还要配置源NAT,转换成私网地址或者公网地址,都是没问题的。

为什么不能单独配置NAT Server呢?

当私网用户访问198.51.100.2:9980,防火墙将其转换成192.168.1.2:80,发送给私网服务器,私网服务器回应报文时,发现之前报文的源地址与自己处于同一网段,于是直接不经过防火墙发送给了私网用户。

  1. [USG]firewall zone trust
  2. [USG-zone-trust]add interface g1/0/0
  3. [USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
  4. route
  5. [USG]display firewall server-map
  6. 2023-12-25 13:26:17.240
  7. Current Total Server-map : 2
  8. Type: Nat Server, ANY -> 198.51.100.2:9980[192.168.1.2:80], Zone:---, protoc
  9. ol:tcp
  10. Vpn: public -> public
  11. Type: Nat Server Reverse, 192.168.1.2[198.51.100.2] -> ANY, Zone:---, protoc
  12. ol:tcp
  13. Vpn: public -> public, counter: 1
  14. [USG]nat address-group addressgroup1
  15. [USG-address-group-addressgroup1]mode pat
  16. [USG-address-group-addressgroup1]section 0 192.168.0.5 192.168.0.10
  17. [USG-address-group-addressgroup1]q
  18. [USG]nat-policy
  19. [USG-policy-nat]rule name policy_nat1
  20. [USG-policy-nat-rule-policy_nat1]source-zone trust
  21. [USG-policy-nat-rule-policy_nat1]destination-zone trust
  22. [USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
  23. [USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
  24. [USG-policy-nat-rule-policy_nat1]q
  25. [USG-policy-nat]q
  26. [USG]

  1. [USG]display firewall session table
  2. 2023-12-25 13:30:05.200
  3. Current Total Sessions : 1
  4. http VPN: public --> public 192.168.1.3:2050[192.168.0.8:2049] --> 198.51.100
  5. .2:9980[192.168.1.2:80]

一般防火墙对同个区域内流动的报文是不进行控制的,因此没有配置安全策略,根据实际情况而定。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/454074
推荐阅读
相关标签
  

闽ICP备14008679号