nat hairpin 端口回流(nat 回环)

已于 2023-05-03 21:07:09 修改
阅读量6.4k 收藏 16
点赞数 1
文章标签: 运维 网络
于 2023-04-25 11:07:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35382262/article/details/130358714
版权
文章描述了如何通过开启NAThairpin功能和配置ACL来控制内网流量路径,确保所有访问内网服务器的流量经过防火墙,从而增强安全性。在特定端口启用NAThairpin和ACL2000允许内网地址转换,并在外网口配置EasyIP。此外,还需在内网口开启NAThairpin功能。若遇到问题,可能需要添加security-zoneintra-zonedefaultpermit规则。
摘要由CSDN通过智能技术生成

描述:

内网地址:192.168.1.2,内网服务器:192.168.1.254,外网地址:10.0.0.2。

情况:

不开启nat  hairpin,访问流量路径是从192.168.1.2直接走内网访问服务器192.168.1.254。

在端口开启nat hairpin后,路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254,相当于从外网nat接口绕了一圈后再访问192.168.1.254。

这样做的好处就是所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内部的攻击,防止内鬼。

  • 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换:
    • 命令:acl basic 2000,进入acl 2000配置,网上也有很多说是acl number 2000,可能不同机器不一样,都试下。
    • 命令:rule permit source 192.168.1.0 0.0.0.255,根据实际的192.168.x.x的网段来
    • 命令:quit,退出
  • 在外网口配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网服务器的报文可以使用外网口的IP地址进行源地址转换:
    • 命令:interface Dialer0,进入外网口配置
    • 命令:nat outbound 2000,设置outbound
    • 命令:quit,退出
  • 在内网口上开启NAT hairpin功能:
    • 命令:interface Vlan-interface1,进入内网口配置
    • 命令:nat hairpin enable,开启hairpin
    • 命令:quit,退出
  • 以上配置完成后,正常来说是可以访问了,不需要重启,但是我的路由并不能,网上查找后又加入了一条命令:security-zone intra-zone default permit
  • 如果想删除某个上述命令,则需要用命令:undo xxxx,例如进入内网口配置后命令undo nat hairpin enable来取消开启
qq_35382262
关注
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题...
weixin_30376509的博客
09-19 4509
问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做...
nat端口回流
qq_44718856的博客
03-15 6716
内网用户通过NAT地址访问内网服务器 1. 组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过...
P2P中的NAT穿越方案
热门推荐
wutong_login的专栏
11-10 2万+
P2P中的NAT穿越方案 王军 P2P简介 P2P即点对点通信,或称为对等联网,与传统的服务器客户端模式(如左图所示)有着明显的区别。P2P可以是一种通信模式、一种逻辑网络模型、一种技术、甚至一种理念。在P2P网络中(如右图所示),所有通信节点的地位都是对等的,每个节点都扮演着客户机和服务器双重角色,节点之间通过直接通信实现文件信息、处理器运算能力、存储空间等资源的共享。P2P
NAT hairpin端口回流回环NAT
weixin_33795743的博客
03-22 2502
常有QQ群友提出这样一个问题:企业内网里发布了一台web服务器,在内网的用户需要通过域名访问web服务,该如何设置路由?从H3C的技术文档看,该需求为典型的C-S模式的NAT hairpin应用。不同路由器厂家有不同的叫法,有说“端口回流”,“回环NAT”等,也许实现的技术不一样,但都可以解决这个问题。H3C的配置可以参考:http://www.h3c.com/cn/d_20...
双向NAT应用场景和配置
最新发布
Richardlygo的博客
08-28 1517
局域网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要域内双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局域网(地址重叠的情况),其中一个局域网中的客户端需要访问另外一个局域网中的服务器时,例如双方局域网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
H3C防火墙NAT类型及处理顺序
phoenixbleed的博客
04-19 1万+
H3C防火墙NAT处理顺序 本文主要适用于H3C V7版本防火墙,介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档,NAT类型及相关说明以官方文档为准。 1 NAT类型及配置说明 H3C V7产品支持的NAT按照组网方式可分为以下几种: (1) 传统NAT 报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出...
Nat回环(Lan——>Lan端口映射原理)
zx824
06-27 1万+
原文地址:http://www.cisco-club.com.cn/space-112942-do-blog-id-1438.html Nat回环(Lan——>Lan端口映射原理) Bati-gol 整理   应用背景: 局域网内网有服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip来访问内网服务器。如下图所示:   名词解释: DNAT:转换目标ip地址。
路由器NAT回流实施
weixin_34129696的博客
09-11 1381
此文原载于本人百度博客:http://hi.baidu.com/oldfile 刚才主任让我配置一下路由器,好使我们的校内也能通过域名访问,本校的主页。原来我们的主页在校外可以通过域名访问,而在校内却只能通过IP地址。因为,我在配置NAT的时候,没有发现内网不能访问,所以这个问题一直到今天才迫切需要解决,呵呵,现在得以解决了。 输入以下两条新命令【便可以搞...
NAT回流
weixin_34195364的博客
01-05 611
[KB17448] Show KB Properties Summary:When accessing a static IP from inside your network, it does not work without configuring settings to do so.Problem or Goal:The goal is to be able to ...
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 1668
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网的访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器的内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
haripin-nat
11-13
hairpin-nat的配置方式,使用时注意将ASA的配置贴进去
天融信防火墙NAT和地址映射配置步骤
10-22
天融信防火墙NAT和地址映射配置步骤,需要仔细研究
防火墙NAT映射-端口回流-从零开始学RouterOS系列06
weixin_42588715的博客
08-05 1369
本教程适用于: 在内网里面使用公网地址去访问内网的服务器。 有点拗口,通俗来说,就是用一个公网IP就能内外网通吃,不用内网一个和外网一个的记。 端口回流,学名 Hairpin NAT。望文生义,就是发夹弯一样的NAT,当我们内网电脑使用公网地址访问网站服务器的时候,我们路由器立刻转手帮回送给网站服务器,就不用去走公网。 好处是:这样子不会受制于公网带宽限制,我们也不用记太多的访问方式。...
RouterOS 设定NAT loopback (Hairpin NAT)回流
weixin_30666753的博客
08-01 750
In the below network topology a web server behind a router is on private IP address space, and the router performs NAT to forward traffic to its public IP address to the web server behind it. ...
内网通过映射后的公网IP访问内网服务测试--ASA842 hairpin NAT测试
weixin_34176694的博客
11-17 419
1.测试拓扑: 2.基本配置: R1: interface FastEthernet0/0  ip address 202.100.1.2 255.255.255.0  no shut ASA842: interface GigabitEthernet0  nameif inside  ip address 10.1.1.254 255.255.255.0  no shut...
华为AR3260路由器配置NAT地址回流
WINDOWS SERVER 2003使用组策略禁用U盘
06-01 4940
4:先用G0/0/0建立一个NAT,建完这个在公司外面,或者在公司内部使用流量就可以公网地址,打开公司内部的服务器了。接口选择外网的接口,外部IP当前接口IP地址默认是外网的地址,外部端口号,内部IP,内部端口号根据实际情况填写。8:配置完就实现了地址回流的功能,在公司内部可以使用公网地址加端口号的方式访问公司内部的服务器了。5:在新建一个NAT,这个时候接口名称选择内部接口G0/0/1,外部IP填写外网的地址,外部端口号,内部IP,内部端口号,更具实际情况填写。3:我一般是使用一对一地址转,点击新建。
华为防火墙NAT回流
weixin_42803019的博客
07-26 1002
NAT回流,新建仅源地址转换, 源和目的都是trust 源地址是内网用户IP网段,目的地址是服务器IP(服务器私网IP),新建一个个公网同段的地址池,转换为和公网同一个网段的地址池,1、如果不可以,检查策略路由,新建策略路由器,源和目的都是trust,策略路由源和目的都包含内部用户IP网段和服务器IP网段,不走策略路由。2、再检查nat端口映射的安全区域是不是any,就行了。
NAT回流,解决内网主机无法访问内网服务器问题
yao12_的博客
08-29 6736
解决内网主机无法通过公网地址或域名访问内网主机的问题
H3CSE-Security GB0-530 更新:NAT Keepalive与IPsec NAT穿越详解
该考试主要聚焦于H3C Security产品和服务,包括但不限于网络协议、安全协议实现、IPsec(Internet Protocol Security)配置、NAT(Network Address Translation)技术以及高级功能如Xauth扩展认证和NAT Hairpin等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值