双向NAT技术
双向NAT两种应用场景:
○ NAT Server+源NAT(又称作域间双向NAT)
为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。好处就是,服务器不需要配网关。
○ 域内NAT
防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
NAT典型应用场景配置举例
○ 源应用(内网访问外网)
○ NAT Server应用(外网访问内网)
防火墙源NAT配置(CLI)
○ 配置域间访问规则
○ 配置地址池
○ 配置源NAT策略
防火墙NAT Server配置(CLI)
○ 配置内部WEB和FTP服务器
○ 配置域间包过滤规则
NAT双出口实例配置思路
划分安全区域→设置域间安全策略→配置静态路由→配置源NAT策略→配置NAT Server策略
思考题
Easy-ip的应用场景是什么?
当公司的公网地址是通过动态获取的,比如通过DHCP或是PPPOE拨号获取的,这时候没办法确认每一次拨号获得的地址是哪一个,这时候就需要应用到它,转换接口地址就可以了。在实际项目中,即使是固定IP上网的,用这个也可以。
基于目的IP地址NAT中no-reverse参数的意义是什么?
如果使用了它,就没有反向的server-map表项,这个时候服务器没办法主动访问外网,如果不敲这个参数,就可以进行上网,能够生成正向的和反向的server-map表项。
在不同类型NAT应用场景中,域间包过滤规则配置应注意哪些方面?
源NAT:内网→外网,放行T到U的流量
NAT Server:外网→内网,放行U到T的HTTP流量
域间双向NAT:U到T
域内双向NAT:U到T NAT Server的流量,T到T的NAT流量