CLI举例:公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)

最新推荐文章于 2024-07-22 22:46:35 发布
最新推荐文章于 2024-07-22 22:46:35 发布
阅读量76 收藏
点赞数 2
分类专栏: 华为项目 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IP_LiangHuan/article/details/134445698
版权

目的NAT是指对报文中的目的地址和端口进行转换。

通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。转换过程如图1所示。

图1 目的NAT工作原理示意图

当外网用户访问内部Server时,FW的处理过程如下:

  1. 当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。
  2. 当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。

根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT。

实验拓补图

实验步骤

 1.配置IP地址和加入区域

[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.2.0.1 24
 
[FW] firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/1
[FW-zone-untrust] firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
 
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]ip address 1.1.1.254 24
[r1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 172.16.1.254 24


配置安全策略,允许外部网络用户访问内部服务器。

[FW] security-policy
[FW-policy-security] rule name bdqn
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit


配置目的NAT地址池

[FW] destination-nat address-group huan
[FW-dnat-address-group-addressgroup1] section 10.2.0.7 10.2.0.7

配置NAT策略

[FW] nat-policy
[FW-policy-nat] rule name huan
[FW-policy-nat-rule-policy_nat1] source-zone untrust
[FW-policy-nat-rule-policy_nat1] destination-address 1.1.10.10 32
[FW-policy-nat-rule-policy_nat1] service protocol tcp destination-port 2000 to 2001
[FW-policy-nat-rule-policy_nat1] action destination-nat static port-to-port address-group addressgroup1 80 to 81

配置报文目的地址的黑洞路由,以防路由环路

[FW] ip route-static 1.1.10.10 255.255.255.255 NULL0

开启FTP协议的NAT ALG功能

[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp

配置缺省路由

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

配置去公网的路由

[r1]ip route-static 1.1.10.10 255.255.255.255 1.1.1.1

IP_LiangHuan
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NAT端口映射两种方法
chenglanche9990的博客
08-02 8706
方法一:使用iis7服务器监控工具直接配置; 方法二:使用如下方法: 静态NAT: 本地地址与全局地址(公网)之间一对一映射,即一台主机对应一个公网IP。 #ip nat inside source static 192.168.1.10 188.188.90.18 #interf...
H3C 无线控制器内网用户通过 NAT 地址访问 外网典型配置举例(V7)
07-29
H3C无线控制器内网用户通过NAT(Network Address Translation,网络地址转换)地址访问外网的典型配置举例主要针对Comware V7软件平台。NAT是一种网络技术,用于将私有网络内的IP地址转换为公共IP地址,以便内部网络...
锐捷防火墙(WEB)——端口映射原理及配置
君逍遥o
09-20 4028
功能原理 备注:全映射的实现原理与端口映射一样,端口映射是将某个端口映射出来,而全映射是将所有端口映射公网IP上。 数据从NGFW通过时的处理流程: 入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。 源NAT转换通俗地讲即将源地址转换为另一个地址,目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网
CCNP路由实验之十五 NAT(网络地址转换)
热门推荐
kkfloat博客
10-05 1万+
CCNP路由实验之十五 NAT(网络地址转换)  众所周知,要让自己的电脑连上Internet,必须要到运营商(ISP)申请一个上网账号,根据此账号申请自己的宽频业务(拨号上网、商业固定IP等等),当你完成申请后,就可以通过拨号拿到一个全域唯一的公网IP,又或者直接是一个商业宽频的固定IP,(注意,其实ISP是把公网IP租给用户的,当用户不租时他们可以租给其他电脑,以提高公网IP
网络工程师华为专项配置
Hello_super的博客
04-13 7391
华为配置,eNSP,DHCP,ACL,WLAN,IPSEC,RIP,OSFP,ETH-TRUNK
【计算机网络安全基础复习】综合复习题答案参考
greenGuck的博客
06-10 7975
最近在复习计算机网络安全基础,临近期末根据一些资料整理了一些题,添加了解析和注意事项,希望对大家有所帮助。
CLI举例私网用户通过NAT No-PAT访问Internet
IP_LiangHuan的博客
11-15 63
配置安全策略,允许私网指定网段与Internet进行报文交互。配置NAT地址池,不开启端口转换。然后通过ping联通是否通过。先配置IP地址和加入区域。
CLI举例私网用户通过NAPT访问Internet(不限制公网地址对应的私网地址数)
IP_LiangHuan的博客
11-15 134
NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。NAT类型表1NAT分类分类转换内容是否转换端口适合场景源NAT转换源地址时不转换端口源IP地址否。
Gitee CLI 一种通过终端与 gitee 服务器无缝交互的工具
04-09
Gitee CLI 是一种通过终端与 Gitee 服务器无缝交互的工具,可以帮助用户快速并方便地管理他们的代码仓库、团队项目等。通过 Gitee CLI用户可以在终端中执行各种操作,如创建新的仓库、克隆现有仓库、提交代码更改...
Gitee CLI 是一种通过终端与 gitee 服务器无缝交互的工具
04-11
Gitee CLI,全称Gitee Command Line Interface,是一款专为开发者设计的命令行工具,旨在通过终端界面实现与Gitee服务器的高效、便捷交互。Gitee是中国的一个开源代码托管平台,类似于GitHub,提供了版本控制、项目...
实验:使用静态NAT对外发布公司官网.docx
11-12
静态NAT是一种一对一映射关系,确保每次内部服务器对外通信时,其私有IP都对应固定的公网IP。 实验步骤: 1. 构建网络拓扑:创建一个包含内部网络、网站服务器和出口路由器的模拟环境,比如使用eNSP(Enterprise ...
pact-cli:通过工具交互文件启动API模拟服务器CLI工具
04-30
一个通过工具交互文件启动API模拟服务器CLI工具。 安装 克隆存储库 npm install npm run build npm link 发展 npm run dev 子指令 服务器 pact-cli server (start|add) server add启动一个交互式服务器向导,...
netty入门-3 EventLoop和EventLoopGroup,简单的服务器实现
保存我对一些技术的思考
07-19 1087
netty简单实现服务器客户端。EventLoop和EventLoopGroup的基本使用
Linux:基础命令学习
qq_55038440的博客
07-20 1077
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
【等保测评】服务器——Windows server 2012 R2
LongL_GuYu的博客
07-22 1385
等保测评:服务器——Windows server 2012 R2
Cookies和session区别
qq_39495959的博客
07-19 542
Cookies数据存储在客户端(浏览器)中,而Session数据存储在服务器端。这意味着Cookies是客户端技术,而Session是服务器端技术。
防火墙之双机热备篇
qq_67758645的博客
07-17 1015
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙的双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
Linux文件与相关函数的知识点1
最新发布
2302_81386929的博客
07-22 1188
如上图,从左往右看,从第二位起,每三个分成一类,第一类表示此电脑用户,第二类表示组用户,第三类表示其他用户,每三个里面都表示着各种权限,r是可读w是可写x是可执行,所以能够轻易地得到此文件不同用户对他的权限,如第一行的文件就是此电脑用户可读可写可执行,组用户可读不可写可执行,以此类推。0x00002000 O_CREAT 表示如果指定文件不存在,则创建这个文件 0x0000 0100 O_EXCL 表示如果要创建的文件已存在,则出错,同时返回-1,并且修改errno 的值。
AWS CLI用户指南:安装与配置详解
AWS CLI 是亚马逊提供的一个命令行工具,允许用户通过命令行与 AWS 服务进行交互,执行多种操作,如管理资源、部署应用程序等。这份用户指南旨在帮助用户熟练掌握 AWS CLI 的使用。 文档中展示了 AWS CLI 的使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值