防火墙 nat配置
实验环境
实验思路
- 设置PC和Server的IP与网关
- 端口ip设置
- 配置安全策略
- 配置NAT
- 测试连通性抓包
具体步骤
配置PC和服务器端
PC:
server:
端口ip设置
FW:
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1]ip route-static 0.0.0.0 0 10.1.1.2
AR:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 200.1.1.254 24
配置安全策略
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1]security-policy
[FW1-policy-security]rule name t_u
[FW1-policy-security-rule-t_u]source-zone trust
[FW1-policy-security-rule-t_u]destination-zone untrust
[FW1-policy-security-rule-t_u]action permit
配置NAT
[FW1]nat-policy
[FW1-policy-nat]rule name s
[FW1-policy-nat-rule-s]source-address 192.168.1.0 24
[FW1-policy-nat-rule-s]source-zone trust
[FW1-policy-nat-rule-s]destination-zone untrust
[FW1-policy-nat-rule-s]action source-nat easy-ip
测试并抓包
总结
NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网,防火墙技术再将内网和公网之间隔绝开来。使得公网不能访问内网,而内网可以访问公网,减少了风险。有时候把NAT和防火墙的概念混为一谈,其实NAT就是NAT,它负责IP地址影射。防火墙就是防火墙,它负责数据包的过滤。但也有时候NAT也会过滤数据包,为什么NAT会碰到问题呢?通过网上查找我发现,假设C向B发送数据的过程中,C的另外一个端口100,也想向B发送数据包,那么当这个包到达A的时候A如何处理呢?过还是不过呢?如果过了,那么从另外一个IP到达A的数据包是否也允许过呢?让这些包通过是危险的。所以NAT决定不让这些包通过,也就是说NAT有了包过滤功能。