SNAT之No-Pat、SNAT实验

最新推荐文章于 2024-05-21 22:53:26 发布
最新推荐文章于 2024-05-21 22:53:26 发布
阅读量365 收藏 4
点赞数 3
文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anakin01/article/details/138050190
版权

实验一:SNAT之No-Pat
一、实验拓扑
在这里插入图片描述
注:
NO-PAT 为什么会生成server-map表项?
答:在使用NAT功能时,如果配置了No-Pat参数,那么设备会对内网IP和外网IP进行一对一映射,而不进行端口转换。此时,内网IP的所哟端口都可以被映射为外网地址的对应端口,外网用户也就可以向内网用户的任意端口主动发起连接。

所以配置NAT No-Pat后,设备会为有实际流量的数据流建立Server-map表,用于存放内网IP地址与外网IP地址的映射关系。设备根据这种映射关系对报文的地址进行转换,然后进行转发。

重点:外网得到内网转换的公网地址后,可以通过这个公网地址发起对内网主机的访问,在放行了安全策略的情况下,存在安全风险。

注意:No-Pat会由流量触发产生正反向server-map表项,其中反向的server-map表项允许外网主机通过访问内网主机的公网地址,主动对内网主机发起访问,在安全策略放行的情况下,存在安全风险。

No-Pat会由流量产生正向server-map表项,正向的server-map表项是为了加快防火墙转发效率。

二、实验配置

1.FTP配置
使用debain搭建FTP服务器,配置略。

2.防火墙配置
①接口地址配置:
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#

②接口区域划分:
 firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#

③配置nat地址池:
#
nat address-group test 0
 mode no-pat global
 section 0 202.1.1.1 202.1.1.2
#

④nat策略配置:
#
nat-policy
 rule name ftp
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action source-nat address-group test
#

⑤配置安全策略:
#
security-policy
 rule name ftp
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action permit
#

三、结论

在这里插入图片描述
在这里插入图片描述

实验二:SNAT之NAPT

一、实验拓扑
在这里插入图片描述
NAPT不会产生任何server-map表项,仅允许内网主动访问外网,外网主机知道转换后的公网地址,也无法通过主动访问这个公网地址访问内网。

二、实验配置

1. FTP配置
使用debain搭建FTP服务器,配置略。

2. 防火墙配置
①接口地址配置:
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#

②接口区域划分:
 firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface GigabitEthernet1/0/1
#

③配置nat地址池:
#
nat address-group test 0
 mode pat
 section 0 202.1.1.1 202.1.1.2
#

④nat策略配置:
#
nat-policy
 rule name ftp
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action source-nat address-group test
#

⑤配置安全策略:
#
security-policy
 rule name ftp
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action permit
#

三、结论
在这里插入图片描述

IT Zeng
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SNAT网关Lvs-snat.zip
07-19
基于阿里 lvs-v2 开发的SNAT网关,类似 iptables SNAT 功能,性能非常好,性能相对iptables提升80%以上。 特性: 支持源ip、目的ip、出口网卡、下一跳网关匹配,规则优先级匹配按照网络地址掩码位数由大到小 ...
防火墙入侵与检测 day03 详解NAT及配置
果子哥丶的博客
05-21 1693
一文带搞懂NAT,从NAT类型,源NAT地址池,源NAT策略,NAT ALG实现,服务器映射NAT Server及目的NAT技术,NAT双出口场景配置举例
华为防火墙的NAT介绍及配置详解
weixin_45116475的博客
11-03 4890
一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口...
ENSP-----防火墙NAT策略
热门推荐
qq_42761527的博客
02-12 1万+
一.NAT概述 NAT的分类 NAT no-PAT:类似思科的动态转化,多对多,不转化端口,不能解约公网IP地址,实际应用场景使用较少,主要适用于需要上网的用户较少,而公网IP地址有足够多的场景 NAPT(网络地址端口转换):类似于思科的PATNATP即转换报文的源地址,又转换源端口。转换后地址不能是外网接口IP地址,属于多对多或者多对一的转换,可以节省公网IP地址,使用场景较多 Eas...
iptables nat 原理(SNAT和DNATNAT之二)
bingyu的博客
05-09 3042
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则 把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。 因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT; 系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——&...
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
snat-race-conn-test:一小段代码,用于触发Linux的SNAT中的竞争条件
04-29
短跑比赛测试 nf_conntrack代码用于触发SNAT竞争条件,并因此导致nf_conntrack插入失败。 建造 $ dep ensure $ go build
搭建SNAT
10-17
SNAT搭建过程 !
Linux防火墙配置SNAT教程(1)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 233
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 310
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 552
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
MQTT 异常断开(一)
m0_50668851的博客
05-21 167
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
netstat协议
lovemelovefish的博客
05-15 389
本机各端口的网络连接情况。
文件操作IO&网络编程&网络原理
tulingtuling的博客
05-13 1613
文件操作IO,网络编程,网络原理
0基础如何进入IT行业
2302_76516899的博客
05-19 602
IT(Information Technology,信息技术)行业涵盖了与计算机技术相关的所有领域。主要包括软件开发、硬件维护、网络架构、数据库管理、网络安全、云计算和人工智能等。了解这些领域的基本概念和发展趋势是进入IT行业的第一步。
OSPF多区域组网实验(思科)
最新发布
qq_65150735的博客
05-21 195
OSPF(Open Shortest Path First,开放式最短路径优先)是一种广泛使用的动态路由协议,属于链路状态路由协议。它主要用于在单一自治系统(AS)内部决策路由,并通过传递链路状态信息和使用算法计算最短路径,为数据包选择最佳的路径,实现快速且有效的数据传输。
Kubernetes——CNI网络组件
一坨小橙子的博客
05-14 644
Kubernetes三种接口、三种网络、VLAN和VXLAN、CNI网络插件(Flannel与Calico)
iptables -t nat -A POSTROUTING -s %s -d %s -j SNAT --to-source %s
05-31
这是一个 iptables 的命令,用于...-j SNAT 表示使用源地址转换 --to-source %s 表示将源地址转换为指定的地址 这条命令的作用是将源 IP 地址为 %s,目标 IP 地址为 %s 的数据包进行源地址转换,将源地址转换为 %s。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值