防火墙--NAT技能,基于源NAT,NAT服务器,双向NAT

石小疯  金牌会员 | 昨天 15:40 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 827|帖子 827|积分 2481

防火墙–NAT技能

基于源NAT:用于将内部网络的私有IP地址转换为公共IP地址,以便内部装备能够访问外部网络
基于NAT服务器:NAT服务器负责处理网络地址转换的所有哀求,通常用于大型网络情况。
双向NAT:允许内部装备与外部装备之间的双向通讯。
NAT ALG(应用层网关):NAT ALG用于处理特定应用协议(如FTP、SIP等)中的地址和端口信息,以确保这些协议在NAT情况中正常工作。
一、基于源NAT

方式



  • NAT No-PAT :一对一的地址转换,不转换端口,需要一个内网ip对应一个公网ip地址。
  • NAPT:一对多的地址转换,需要转换端口,适用于一个公网ip对应多个私网ip。
  • 出接口地址(Easy-ip)方式:一对多的地址转换,可转换多端口,适用于该接口是动态获取的。
  • Smart NAT:一对一与一对多的地址,预留一个公网地址举行NAPT方式,其他公网IP地址举行NAT No-PAT转换,适用于个别时候突增的上网用户。
  • 三元组NAT:将私网源IP地址与端口号转换为固定的公网IP地址和端口,解决NAPT随机转换IP地址和端口问题,用于外部主动访问内部流量:P2P。

NAT No-PAT

配置NAT地址
  1. #
  2. nat address-group 1 0
  3. mode no-pat local  ##无端口地址转换模式
  4. section 0 202.1.1.2 202.1.1.3
  5. #
复制代码
配置NAT策略
  1. #
  2. nat-policy
  3. nat-policy
  4. rule name policy1_ftp
  5.   source-address 192.168.1.0 mask 255.255.255.0
  6.   destination-address 192.168.2.1 mask 255.255.255.255
  7.   service ftp
  8.   action source-nat address-group ftp
  9. #
复制代码
配置安全策略
  1. #
  2. security-policy
  3. rule name policy1-2
  4.   source-address 192.168.1.0 mask 255.255.255.0
  5.   destination-address 192.168.2.1 mask 255.255.255.255
  6.   destination-address 192.168.2.2 mask 255.255.255.255
  7.   service ftp
  8.   service http
  9.   action permit
  10. #
复制代码
启动FTP服务器

客户端登录ftp服务器

检察server-map表

   生成了正向和反向两条表项,两个私网地址对应两个公网地址。这时其他私网地址就不能再访问ftp服务器
  配置黑洞路由,防止路由环路
  1. [USG6000V1]ip route-static 202.1.1.2 32 NULL 0
  2. [USG6000V1]ip route-static 202.1.1.3 32 NULL 0
复制代码
NAPT

配置地址池
  1. #
  2. nat address-group http 1
  3.   mode pat   ##端口地址转换模式
  4.   section 0 202.1.1.4 202.1.1.5
  5. #
复制代码
配置NAT策略
  1. #
  2. nat-policy
  3. rule name policy2_http
  4.    source-address 192.168.1.0 mask 255.255.255.0
  5.    destination-address 192.168.2.1 mask 255.255.255.255
  6.    service http
  7.    action source-nat address-group http
  8. #
复制代码


检察web会话表信息

   两个私网地址公用了一个公网地址,但使用的差别端口号。这样就不要担心转换冲突的问题。NAPT不会生成server-map表。
  配置黑洞路由,防止路由环路
  1. [USG6000V1]ip route-static 202.1.1.4 32 NULL 0
  2. [USG6000V1]ip route-static 202.1.1.5 32 NULL 0
复制代码
出接口地址方式

配置NAT策略
  1. #
  2. nat-policy
  3. rule name policy3_easy-ip
  4.    source-zone trust
  5.    destination-zone untrust
  6.    source-address 192.168.1.0 mask 255.255.255.0
  7.    destination-address 192.168.2.2 mask 255.255.255.255
  8.    service ftp
  9.    action source-nat easy-ip   ##基于接口转换
  10. #
复制代码
启动ftp服务器和登录ftp服务器
检察ftp会话表信息

   在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号差别,同样不会生成server-map表。
  配置ASPF
  1. firewall interzone trust untrust
  2. detect ftp
复制代码
Smart NAT

配置地址池
  1. #
  2. nat address-group smart_nat 2
  3.   mode no-pat local   ##无端口地址转换模式
  4.   smart-nopat 202.1.1.7  ##预留地址
  5.   section 0 202.1.1.6 202.1.1.6
  6. #
复制代码
配置NAT策略
  1. #
  2. nat-policy
  3. rule name policy4_smart
  4.    source-zone trust
  5.    destination-zone untrust
  6.    source-address 192.168.1.0 mask 255.255.255.0
  7.    destination-address 192.168.2.2 mask 255.255.255.255
  8.    service http
  9.    action source-nat address-group smart_nat
  10. #
复制代码
启动http服务器和登录http服务器
检察web会话表信息

   一个私网地址转换了一个公网地址,而别的两个转换了一个公网地址(预留地址)
,但端口号差别。故说smart-nat 是No-pat和NAPT的结合。
  支持检察No-pat的server-map表

配置黑洞路由,防止路由环路
  1. [USG6000V1]ip route-static 202.1.1.6 32 NULL 0
  2. [USG6000V1]ip route-static 202.1.1.7 32 NULL 0
复制代码
三元组 NAT

配置NAT地址池
  1. #
  2. nat address-group san_Yu 3
  3.   mode full-cone global  ##指定模式为三元组
  4.   section 0 202.1.1.8 202.1.1.8
  5. #
复制代码
配置NAT策略
  1. nat-policy
  2. rule name policy3_san_Yu
  3.    source-zone trust
  4.    destination-zone untrust
  5.    source-address 192.168.1.0 mask 255.255.255.0
  6.    destination-address 192.168.2.2 mask 255.255.255.255
  7.    service ftp
  8.    action source-nat address-group san_Yu
复制代码
检察会话信息

   表示私网地址已经乐成转换为公网地址
  检察server-map表

   三元组模式生成了两条表项,这两条表项中源表项的源地址端口和目的表项的目的端口类似
  配置黑洞路由,防止路由环路
  1. [USG6000V1]ip route-static 202.1.1.8 32 NULL 0
  2. [USG6000V1]ip route-static 202.1.1.9 32 NULL 0
复制代码
二、基于服务器的NAT


配置NAT Server
  1. nat server Yong_hu_1 zone Yong_hu_1 protocol tcp global 192.168.100.200 9870 inside 192.168.1.1 80
复制代码
  将服务的私网地址映射成公网地址192.168.100.200:9870
  配置了nat server就会自动生成server-map表

   Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。意思是任意客户段访问192.168.100.200:9870都会转换IP地址和端口为192.168.1.1:80
Nat server Reverse:192.168.1.1访问外部流量时,自动转换为192.168.100.200。将私网地址转换为公网地址。
  配置安全策略
  1. #
  2. security-policy
  3.   rule name Yong.hu1_DMZ
  4.    source-zone Yong_hu_1
  5.    destination-zone dmz
  6.    destination-address 192.168.1.1 mask 255.255.255.255
  7.    service http
  8.    action permit
  9. #
复制代码
启动web服务器和登录web服务器


   端口号一定要写对
  乐成访问后,检察会话信息

配置路由黑洞防环环路
  1. [USG6000V1]ip route-static 192.168.100.200 32 NULL 0
复制代码
多出口场景下的NAT Server

将接口分别加入到差别的安全区域
  1. #
  2. firewall zone dmz
  3.   set priority 50
  4.   add interface GigabitEthernet0/0/0
  5. #
  6. firewall zone name Yong_hu_1 id 6
  7.   set priority 10
  8.   add interface GigabitEthernet1/0/0
  9. #
  10. firewall zone name Yong_hu_2 id 7
  11.   set priority 20
  12.   add interface GigabitEthernet1/0/2
  13. #
复制代码
配置带区域的NaT server
  1. nat server Yong_hu_1 zone Yong_hu_1 protocol tcp global 192.168.100.200 9870 inside 192.168.1.1 www unr-route
  2. nat server Yong_hu_2 zone Yong_hu_2 protocol tcp global 192.168.100.200 9880 inside 192.168.1.1 www unr-route
复制代码
配置带区域的安全策略
  1. security-policy
  2.   rule name Yong.hu1_DMZ
  3.    source-zone Yong_hu_1
  4.    destination-zone dmz
  5.    destination-address 192.168.1.1 mask 255.255.255.255
  6.    service http
  7.    action permit
  8.   rule name Yong.hu2_DMZ
  9.    source-zone Yong_hu_2
  10.    destination-zone dmz
  11.    destination-address 192.168.1.1 mask 255.255.255.255
  12.    service http
  13.    action permit
复制代码
配置路由黑洞
检察server-map表项

配置源进源出,防止流量访问过慢和不能访问的问题
  1. #
  2. interface GigabitEthernet1/0/0
  3.   redirect-reverse next-hop 172.16.1.1
  4. interface GigabitEthernet1/0/2
  5.   redirect-reverse next-hop 172.16.2.1
  6. #
复制代码
单向server-map表项

   当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。但是假如私网服务器想要访问外网,就必须在DMZ-Untrust的域间配置源NAT策略
  三、双向NAT

双向NAT是源NAT和NAT server的组合,并不是说同时配置了源NAT和NAT server

NAT Server 配置
  1. nat server ISP_DMZ zone untrust protocol tcp global 192.168.30.30 9890 inside 1
  2. 92.168.1.1 80
复制代码
配置NAT地址池
  1. #
  2. nat address-group an_unan 0
  3. mode full-cone local
  4. route enable
  5. section 0 192.168.1.100 192.168.1.100
  6. #
复制代码
配置NAT策略
  1. #
  2. nat-policy
  3. rule name un_dmz
  4.   source-zone untrust
  5.   destination-zone dmz
  6.   destination-address 192.168.1.1 mask 255.255.255.255
  7.   action source-nat address-group an_unan
  8. rule name trust_dmz
复制代码
配置安全策略
  1. #
  2. rule name ISP_DMZ
  3.   source-zone untrust
  4.   destination-zone dmz
  5.   source-address 10.0.10.0 mask 255.255.255.0
  6.   destination-address 192.168.1.1 mask 255.255.255.255
  7.   service ftp
  8.   service http
  9.   action permit
  10. #
复制代码
启动web服务器和登录web服务器
检察会话表是否相互转换乐成


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

石小疯

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表