devbox
我家小花儿
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

目的NAT: 公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)_nat目的端口

作者:我家小花儿 | 2024-06-11 23:42:25

nat目的端口

目的NAT简介

目的NAT是指对报文中的目的地址和端口进行转换。

通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。转换过程如图1所示。

当外网用户访问内部Server时,FW的处理过程如下:

  1. 当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。
  2. 当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。

根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使服务器能够对外提供不同的服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.10.10)作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

拓扑图

  1. 防火墙基本配置
  2.  
  3. <USG6000V1>system-view 
  4. [USG6000V1]sysname FW1
  5.  
  6. [FW1]interface GigabitEthernet 1/0/1	
  7. [FW1-GigabitEthernet1/0/1]ip address 10.2.0.1 24
  8. [FW1-GigabitEthernet1/0/1]q
  9.  
  10. [FW1]interface GigabitEthernet 1/0/2
  11. [FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 24
  12. [FW1-GigabitEthernet1/0/2]q
  13.  
  14.  将接口加入DMZ区域。
  15. [FW1]firewall zone dmz	
  16. [FW1-zone-dmz]add interface GigabitEthernet 1/0/1
  17. [FW1-zone-dmz]q
  18.  
  19. 将接口加入untrust区域。
  20. [FW1]firewall zone untrust 	
  21. [FW1-zone-untrust]add interface GigabitEthernet 1/0/2
  22. [FW1-zone-untrust]q
  23.  
  24. 配置安全策略,允许外部网络用户访问内部服务器。 
  25. [FW1-policy-security]rule name untrust-2-DMZ
  26. [FW1-policy-security-rule-untrust-2-DMZ]destination-zone dmz 
  27. [FW1-policy-security-rule-untrust-2-DMZ]destination-address 10.2.0.0 24	
  28. [FW1-policy-security-rule-untrust-2-DMZ]action permit 
  29. [FW1-policy-security-rule-untrust-2-DMZ]q
  30. [FW1-policy-security]q
  31.  
  32.  
  33.  
  34. 地址池
  35. [FW1]destination-nat address-group bdqn1
  36. [FW1-dnat-address-group-bdqn1]section 10.2.0.9 10.2.0.9
  37.  
  38.  
  39. 配置NAT策略
  40. [FW1-policy-nat]rule name dnat2
  41. [FW1-policy-nat-rule-dnat2]source-zone untrust 
  42. [FW1-policy-nat-rule-dnat2]destination-address 1.1.10.12 32	
  43. [FW1-policy-nat-rule-dnat2]service protocol tcp destination-port 2000 to 2001
  44. [FW1-policy-nat-rule-dnat2]action destination-nat static port-to-port address-gr
  45. oup bdqn1 80 to 81

  1. R1基本配置
  2. <Huawei>system-view 
  3. [Huawei]sysname R1
  4.  
  5. [R1]interface GigabitEthernet 0/0/0
  6. [R1-GigabitEthernet0/0/0]ip address 1.1.1.254 24
  7. [R1-GigabitEthernet0/0/0]q
  8.  
  9. [R1]interface GigabitEthernet 0/0/1
  10. [R1-GigabitEthernet0/0/1]ip address 172.16.1.254 24
  11. [R1-GigabitEthernet0/0/1]q
  12.  
  13.  
  14. 写两条通往服务器的路由
  15. [R1]ip route-static 1.1.10.12 32 1.1.1.1

FTP 配置2001端口

http的端口2000

防火墙查询会话表

可以看到http 和 tcp 的结果

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/705205
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号