目的NAT

已于 2023-06-05 11:01:45 修改
阅读量252 收藏 1
点赞数
文章标签: 网络 服务器 运维
于 2023-06-05 11:00:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/131043977
版权

内容来源:《防火墙和VPN技术与实践》-李学昭 -2022年版-人民邮电出版社

1基于策略的目的NAT

image-20230605083925516

配置地址池

地址池中的地址为服务器的IP地址。

#
destination-nat address-group addgroup1 0
 section 192.168.1.2 192.168.1.2
配置NAT策略:
#
 rule name policy_nat
  source-zone untrust
  destination-address 198.51.100.2 mask 255.255.255.255
  service http
  action destination-nat static address-to-address address-group addgroup1
配置安全策略:
security-policy
 rule name untrust_dmz
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.2 mask 255.255.255.255
  service http
  action permit
配置黑洞路由:
ip route-static 198.51.100.2 32 NULL 0
公网用户访问内网服务器地址:

image-20230605104614442

从防火墙会话表,可以查看到地址转换情况:
http  VPN: public --> public  ID: c487f1edf7da4d83785647d4c88
 Zone: untrust --> dmz  TTL: 00:00:10  Left: 00:00:03
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.1.2  MAC: 5489-98c6-1901
 <--packets: 4 bytes: 471 --> packets: 6 bytes: 402
 203.0.113.2:2056 --> 198.51.100.2:80[192.168.1.2:80] PolicyName: untrust_dmz
 TCP State: close

2 NAT Server

image-20230605083925516

配置NAT-Server
nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80
配置安全策略:
security-policy
 rule name untrust_dmz
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.2 mask 255.255.255.255
  service http
  action permit
Client访问内网服务器:

image-20230605105139006

查看防火墙的会话表:

可以查看目的地址的转换情况如下:198.51.100.2:9980[192.168.1.2:80] ,[]内的为防火墙转换后的地址。

 http  VPN: public --> public  ID: c287f1edf7da7901e647d4e27
 Zone: untrust --> dmz  TTL: 00:00:10  Left: 00:00:04
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.1.2  MAC: 5489-98c6-1901
 <--packets: 5 bytes: 511 --> packets: 6 bytes: 402
 203.0.113.2:2061 --> 198.51.100.2:9980[192.168.1.2:80] PolicyName: untrust_dmz
 TCP State: close
关于 “允许服务器使用公网地址上网” 和 黑洞路由:

image-20230605090526257

# 允许服务器使用公网地址上网:
nat server 0 protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 www
# 防火墙会产生 反向的Server-map,如果要让服务器使用公网地址上网,还需要额外配置安全策略。

# 未勾选允许服务器使用公网地址上网
nat server 0 protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 www no-reverse 
不会产生反向的 Server-map , 服务器在访问公网的时候,不会主动使用 被映射的公网地址,需要额外配置 源NAT的NAT-policy和安全策略。

关于此项内容,大家可以自行查看防火墙的Server-map情况。

黑洞路由:

image-20230605091121832

 # unr-route
 nat server  protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 www no-reverse unr-route

双向NAT

场景1:公网用户访问内部服务器

image-20230605091548833

避免大量的服务器配置网关,节省工作的开销。

配置过程:

配置源目映射关系:

# 转换目的地址
nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 www no-reverse unr-route

# 转换源地址
nat address-group addgroup1 
 mode pat
 section 0 192.168.1.5 192.168.1.10  # 地址和服务器在相同网段

NAT策略:

nat-policy
 rule name policy_nat
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.2 mask 255.255.255.255
  action source-nat address-group addgroup1

安全策略

security-policy
 rule name untrust_dmz
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.2 mask 255.255.255.255
  service http
  action permit

客户端发起访问:

image-20230605103027433

查看防火墙会话表:

[FW1]display firewall session table verbose
2023-06-05 02:31:19.790 
 Current Total Sessions : 1
 http  VPN: public --> public  ID: c487f1edf7d01482e62647d48ee
 Zone: untrust --> dmz  TTL: 00:00:10  Left: 00:00:01
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.1.2  MAC: 5489-98c6-1901
 <--packets: 4 bytes: 471 --> packets: 6 bytes: 402
 203.0.113.2:2050[192.168.1.9:2049] --> 198.51.100.2:9980[192.168.1.2:80] Policy
Name: untrust_dmz
 TCP State: close

配置完NAT Server,公网用户就可以访问私网服务器了。那么,配置了源NAT的意义在哪里呢?秘密就在于私网服务器对响应报文的处理方式上。

NAT地址池中的地址和私网服务器在同一网段,私网服务器回应时,就不会去查找路由表,而是发送ARP广播报文询问此地址对应的MAC地址。私网服务器上省去了查找路由的环节,那就不用设置网关了!

场景2:私网用户访问内部服务器

image-20230605092947856

配置过程:

IP地址、Zone配置省略。

配置源目映射关系:

# 面向用户,Server的身份是: 198.51.100.2 配置NAT-Server
nat server protocol tcp global 198.51.100.2 9980  inside 192.168.1.2 80  no-reverse unr-route

# 面向Server,用户的身份是 192.168.0.5 - 192.168.0.10  配置地址池
nat addressgroup addgroup1
 section 192.168.0.5 192.168.0.10
 mode pat

配置NAT策略:

nat-policy
 rule name nat-policy1
 source-zone trust
 destinaion-zone trust
 destinaion-address 192.168.1.2 32
 action source-nat address-group addgroup1

由于Clinet和Servrer在同一个安全区域,可以不配置安全策略。

Client发起访问:

image-20230605100140472

查看防火墙会话表:
[FW1]display firewall session table verbose
2023-06-05 01:48:47.570 
 Current Total Sessions : 1
 http  VPN: public --> public  ID: c487fc4004dd14811fb647d3efb
 Zone: trust --> trust  TTL: 00:00:10  Left: 00:00:06
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.1.2  MAC: 5489-988d-5162
 <--packets: 4 bytes: 471 --> packets: 6 bytes: 402
 192.168.1.3:2050[192.168.0.8:2049] --> 198.51.100.2:9980[192.168.1.2:80] Policy
Name: ---
 TCP State: close

如果Client和Server不在相同的网段,也可以只配置NAT Server,当前场景下配置双向NAT的目的是为了Client和Server相互传递的流量都要经过防火墙。

yoyo鹿鳴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
目的NAT(公网地址与私网地址一对一进行映射)
hey1616的博客
11-16 1438
静态目的NAT原理、静态目的NAT实验
Destination NAT with netfilter (DNAT)
运维网工学习
12-28 604
Destination NAT with netfilter is commonly used to publish a service from an internal RFC 1918 network to a publicly accessible IP. To enable DNAT, at least one iptables command is required. The conne
JUNIPER SRX双ISP部署Destination-nat配置实验1.0
weixin_34275734的博客
02-01 768
企业网环境中,客户通常会部署多条运营商线路。同一台服务器的不同端口会通过不同运营商线的线路发布出去。也有客户会问:无法通过ISP2的地址管理设备。我们通过简单的路由实例就可以实现这一要求。实验拓扑: 实验需求:1.客户通过电信访问服务器8080端口,通过联通ip访问服务器80端口; 2.(后续)SRX监控电信的443端口,一旦443单...
NGWF_目的NAT
qq_27599713的博客
02-13 214
目的NAT将报文中的目的地址和端口进行转换。如图,当外网用户访问内部Server时,FW的处理流程如下:1.当外网用户访问内网Server报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。2.当响应报文返回FW时,FW再将报文的源地址由私网地址转换为公网地址。
一文了解网络地址转换(NAT
闵行小鱼塘
06-30 4772
本文试图尽可能全面的讲清楚NAT
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
linuxnat介绍
08-05
Linux NAT 实现了两种类型的 NAT:源 NAT(SNAT)和目的 NAT(DNAT)。 源 NAT(SNAT)是一种将私有 IP 地址转换为公网 IP 地址的技术,以便于私有网络中的主机可以访问 Internet。目的 NAT(DNAT)是一种将公网 IP...
防火墙NAT设置(神州数码)
04-20
很简单明了的NAT技术设置过程,估计大家都能看懂吧
linux网络NAT配置方式详解
09-15
这通常涉及到SNAT(源NAT)和DNAT目的NAT)规则的设置,可以通过iptables或firewalld等工具实现。 总之,Linux网络NAT配置是虚拟化环境中不可或缺的一部分,它确保了内部网络的安全性和对外通信的可行性。正确...
多出口NAT策略路由配置
04-10
多出口NAT策略路由案例·已完成·GNS3 通过配置实现: 宿舍区访问互联网使用电信出口....如果你访问的电信的地址,网通ISP没有这条目的地的路由就无法通信) 我的博文里有配置步骤可以参考http://t.csdn.cn/84TP3
网络地址转换(NAT
最新发布
FolloW_0616的博客
04-07 2220
网络地址转换,用于实现私有网络和公有网络之间的互访。
华为eNSP防火墙NAT配置
热门推荐
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
NAT网络地址转换
weixin_44841019的博客
03-15 3208
NAT一、NAT1.NAT的工作原理:2. NAT功能:3.NAT的优缺点4.NAT转换过程二、静态NAT和动态NAT1.静态NAT静态NAT的配置2.动态NAT动态NAT的配置 一、NAT 是网络地址转换 Network address translation 的缩写,是一种可以将内部地址转换成外部网络地址,简称就是将内网也就是局域网地址转换成外网也就是公有网络地址。 1.NAT的工作原理: ●NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信 ●NAT外部的主机无
华为三层交换机与防火墙对接上网配置示例
qwm06211337的博客
11-23 1116
配置完成后,PC1和PC2都可以Ping通外网的IP 203.0.113.1/24,PC1和PC2都可以访问Internet。配置外网PC的IP地址为203.0.113.1/24,网关为203.0.113.2。1、配置交换机作为用户的网关,通过VLANIF接口,实现跨网段用户互访。# 配置连接防火墙的接口和对应的VLANIF接口。# 配置连接用户的接口和对应的VLANIF接口。# 配置连接交换机的接口对应的IP地址。# 配置连接公网的接口对应的IP地址。# 配置安全策略,允许域间互访。
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3468
华为防火墙NAT概述和基础配置。
HCIE-Security Day9:5个实验理解NAT Server
小梁的博客
02-11 2358
NAT Server与目的NAT的区别和联系 NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。 两者还有如下区别 1、nat server 配置后创建静态server-map表项,destination-nat不创建 2、nat server 优先级...
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 1861
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
源地址和目的地址理解_【网络干货】网络安全之NAT(地址转换)技术详解
weixin_39855706的博客
11-23 1万+
一、NAT 概述NAT 是将 IP 数据报报头中的 IP 地址转换为另一个 IP 地址的过程,主要用于实现内部网络(私有 IP 地址)访问外部网络(公有 IP 地址)的功能。Basic NAT 是实现一对一的 IP 地址转换,而 NAPT 可以实现多个私有地址映射到同一个公有地址上。Basic NATBasic NAT 方式属于一对一的地址转换,在这种方式下只转换 IP 地址,而对 TCP/UDP...
目的NAT:公网用户通过 NAT Server 访问内部服务器
GUOJUNWEI11的博客
11-16 1599
当外网用户访问内网服务器时,NAT Server通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”之间的映射关系,将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。配置转换表项:在路由器上配置NAT Server的转换表项,记录内网服务器的私网IP地址和端口号与对应的公网IP地址和端口号之间的映射关系。源地址替换:路由器根据响应报文的源IP地址和端口号查找转换表项,并使用转换表项中的公网IP地址和端口号替换响应报文中的源IP地址和端口号。
ensp的目的nat
07-29
在eNSP中配置目的NAT目的是实现校园内所有用户访问Internet的功能。通过在校园出口路由器R1中配置NAT,使用校园有限的Internet IP地址池,将校园内部使用的私有IP地址转换为公有IP地址,从而使校园内的用户能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值