目的NAT: 公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)

最新推荐文章于 2024-05-20 20:21:09 发布
最新推荐文章于 2024-05-20 20:21:09 发布
阅读量346 收藏 1
点赞数
分类专栏: 华为TCP/IP 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GUOJUNWEI11/article/details/134444837
版权

目的NAT简介

目的NAT是指对报文中的目的地址和端口进行转换。

通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。转换过程如图1所示。

当外网用户访问内部Server时,FW的处理过程如下:

  1. 当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。
  2. 当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。

根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使服务器能够对外提供不同的服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.10.10)作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

拓扑图

防火墙基本配置

<USG6000V1>system-view 
[USG6000V1]sysname FW1

[FW1]interface GigabitEthernet 1/0/1	
[FW1-GigabitEthernet1/0/1]ip address 10.2.0.1 24
[FW1-GigabitEthernet1/0/1]q

[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/2]q

 将接口加入DMZ区域。
[FW1]firewall zone dmz	
[FW1-zone-dmz]add interface GigabitEthernet 1/0/1
[FW1-zone-dmz]q

将接口加入untrust区域。
[FW1]firewall zone untrust 	
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2
[FW1-zone-untrust]q

配置安全策略,允许外部网络用户访问内部服务器。 
[FW1-policy-security]rule name untrust-2-DMZ
[FW1-policy-security-rule-untrust-2-DMZ]destination-zone dmz 
[FW1-policy-security-rule-untrust-2-DMZ]destination-address 10.2.0.0 24	
[FW1-policy-security-rule-untrust-2-DMZ]action permit 
[FW1-policy-security-rule-untrust-2-DMZ]q
[FW1-policy-security]q



地址池
[FW1]destination-nat address-group bdqn1
[FW1-dnat-address-group-bdqn1]section 10.2.0.9 10.2.0.9


配置NAT策略
[FW1-policy-nat]rule name dnat2
[FW1-policy-nat-rule-dnat2]source-zone untrust 
[FW1-policy-nat-rule-dnat2]destination-address 1.1.10.12 32	
[FW1-policy-nat-rule-dnat2]service protocol tcp destination-port 2000 to 2001
[FW1-policy-nat-rule-dnat2]action destination-nat static port-to-port address-gr
oup bdqn1 80 to 81


R1基本配置
<Huawei>system-view 
[Huawei]sysname R1

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[R1-GigabitEthernet0/0/0]q

[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 172.16.1.254 24
[R1-GigabitEthernet0/0/1]q


写两条通往服务器的路由
[R1]ip route-static 1.1.10.12 32 1.1.1.1

FTP 配置2001端口

http的端口2000

防火墙查询会话表

可以看到http 和 tcp 的结果

郭 子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Cisco静态路由表配置
12-18 2349
Route0 Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0 Router(config-if)#ip add 192.168.0.2 255.255.255.0 Router(config-if)#no sh
nat123免费注册域名端口映射
12-01
V1.131201版本. 外网访问内网好帮手。 实现外网访问内网WEB网站,外网访问内网ORACLE数据库、SQLSERVER数据库、MYSQL数据库,外网访问内网OA,外网访问内网SVN应用等等端口映射。 还可以免费使用数量不限的自定义域名。 无需公网IP,无需做路由映射,无需申请域名,搭建网站应用一步就搞定。 支持多地点登录,多地点启动映射服务。 支持泛域名映射
目的NAT公网端口私网端口进行映射
hey1616的博客
11-16 145
动态目的NAT公网端口私网端口一对一进行映射
nat123免费的端口映射小工具
11-26
nat123免费的端口映射小工具。 外网访问内网WEB网站,外网访问内网ORACLE数据库、SQLSERVER数据库、MYSQL数据库,外网访问内网应用端口等等。 无需要公网IP,无需做路由映射,让外网访问内网nat123端口映射一步搞定。
nat123端口映射软件
12-05
软件版本:V1.131201 Beta版 软件大小:1.3 MB 更新时间:2013-12-01 软件语言:简体中文 提 供 商:nat123.com 软件官网:www.nat123.com 软件授权:免费 应用平台:WinXP/Win2003/WinVista/Win2008/Win7/Win8 运行环境:Microsoft.NET Framework 4.0及以上版本 软件介绍: nat123端口映射是专业的内网端口映射软件,可轻松访问连接内网,不需要设置路由器,不需要公网ip,不需要固定ip,不需要动态域名。 支持开机运行,自动登录,后台映射服务功能,支持多种内网地址格式,支持多端口映射,支持外网地址域名80端口映射,支持自定义外网访问端口,支持多地点登录映射,支持泛域名映射,经过映射的网站客户端用户访问真实IP不丢失,智能自动检测映射状态并提示,可以使用任意自定义免费二级域名。网站建设发布,访问内网,就用nat123一步搞定。 适合在公司,小区宽带,出租屋,校园网,网吧,教育网,等网络结构复杂,限制严格的环境中使用。   nat123端口映射应用举例:   1. 外网访问内网网站、应用   映射内网网站,sql数据库,svn服务器等。   2. 远程桌面   映射windows远程桌面,便于外网远程操作你的内网电脑。   3. 视频监控 映射内网视频监控应用,达到外网访问内网视频监控,加速访问等。 新手指引介绍: 1.外网访问内网WEB网站。 (1)内网登录nat123端口映射客户端。 (2)添加映射。内网地址和内网端口对应内网WEB网站地址和端口,外网地址和外网端口对应外网访问的地址和端口。当外网地址是域名地址时,外网端口可以是80。 2.外网访问内网应用。(内网应用可以是数据库、SVN、远程桌面等) (1)内网登录nat123端口映射客户端。 (2)添加映射。内网地址和内网端口对应内网应用地址和端口,外网地址和外网端口应用外网访问的地址和端口。当外网地址是域名地址时,外网端口可以是80。
VMware NAT端口映射
09-25
VMware NAT端口映射
NAT实现外网对内网服务器访问
09-18
NAT(Network Address Translation)网络地址转换。
目的NAT公网地址与私网地址一对一进行映射
hey1616的博客
11-16 1148
静态目的NAT原理、静态目的NAT实验
12、利用NAT/NAPT实现外网主机访问内网服务器(思科)
qq_64951792的博客
06-17 2385
ip nat pool [地址池名] start-address end-address {netmask mask | prefix-length prefix-length} access-list [控制列表编号] permit ip-address wildcard ip nat inside source list access-list-number {[ pool [地址池名] | [interface interface-type interface-number]} overload。
静态目的NAT公网用户通过目的NAT访问内部服务器公网端口私网端口一对一进行映射
2301_77023501的博客
11-16 303
转换过程如所示。目的NAT工作原理示意图根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
Windows2003配置NAT端口映射
01-17
服务和端口端口映射的重点,它配置的是对公网IP哪些端 IP和端口上。 “公用地址”表示连接到公网的接口,选 “协议”则根据服务的类型选择TCP或UDP;“传入端口”指对 “专用地址”指的是访问将会转发到的内部...
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
防火墙————目的NAT
xiazhui1的博客
11-16 769
目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 1329
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
iptables配置NAT实现端口转发与ss命令的讲解
热门推荐
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
NAT地址转换
manyulanlanlu的博客
06-09 1077
NAPT:网络地址端口转换,从地址池中选择地址进行设置转换时不仅转换ip地址,同时也会对端口进行转换,来实现公有地址与私有地址1:n映射,从而提高公有地址利用率。Nat技术只要用于实现内部网络的主机访问外部网络,可以缓解ipv4地址不够用的问题,也可以让外网无法直接使用私有地址的内网进行通信,提升内网的安全性。总结:从内网到外网,经过地址转换,变化的是源ip地址,从外网到内网,经过地址转换,变得是目的ip。内网ip经过NAT转换时,会查询NAT映射表,转换为固定映射的公有地址,在和外网进行通信。
防火墙——目的NAT
qq_59359593的博客
09-25 311
指报文命中NAT策略后,转换报文的目的IP地址,且转换前后的地址存在一定的映射关系。通常情况下,出于安全考虑,我们不允许外部网络主动访问内部网络。当公网用户访问服务器时,防火墙处理流程如下。①防火墙收到用户访问服务器198.51.100.2的第一个报文后,匹配NAT策略。②匹配到NAT策略后,防火墙从目的NAT地址池中选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口或者端口保持不变。③报文通过安全策略后,会在防火墙上建立会话表,然后将报文发送至内网服务器
一文了解网络地址转换(NAT
闵行小鱼塘
06-30 3354
本文试图尽可能全面的讲清楚NAT
Django使用AJAX向服务器发起请求
最新发布
wanghuizheng的专栏
05-20 193
AJAX(Asynchronous JavaScript and XML)是一种用于创建交互式网页应用程序的技术,它允许在不重新加载整个页面的情况下向服务器发送和接收数据。通过 AJAX,网页可以异步地向服务器发起请求并在后台进行处理,然后在不刷新页面的情况下更新页面的部分内容。:AJAX 的核心是 JavaScript,它负责在客户端(浏览器)发起请求、处理响应,并更新页面的内容。:XHR 是在 JavaScript 中用于向服务器发起 HTTP 请求和接收响应的对象。
某企业出口防火墙启用目的NAT对外提供服务,但其内网用户无法通过公网映射地址访问该服务,应如何解决?
07-08
1.络地址转换(NAT)配置问题:确保防火墙正确配置了目的N规则,将公网地址映射到内网的IP地址和端口上检查NAT配置是否正确,包括源地址目的地址、端口号等。 2. 防火墙规则限制:检查防墙规则,确保允许从内网到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值