防火墙nat端口映射实验
组网要求:
1. 防火墙三个接口的IP地址如图所示;将这三个接口划入相应的安全区域;
2. PC1能够主动发起访问处于Internet的PC2,但是PC2无法主动访问PC1;为PC1访问公网申请到的公网地址池为200.1.1.10 – 200.1.1.20;
3. 处于Internet的PC2能够以200.1.1.21为目的IP地址来访问DMZ区域中的Server的WEB服务。
二、IP设置:
PC1:192.168.1.1/24,trust
PC2:200.1.1.2/24,untrust
Client1:192.168.2.1/24,trust
Server1:172.16.1.1/24,DMZ
FW1:192.168.1.254/24,192.168.2.254,172.16.1.254/24,200.1.1.1/24
三、配置步骤:
防火墙FW的配置如下:
[FW] interface GigabitEthernet0/0/1
[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24
[FW] interface GigabitEthernet0/0/2
[FW-GigabitEthernet0/0/2] ip address 172.16.1.254 24
[FW] interface GigabitEthernet0/0/3
[FW-GigabitEthernet0/0/3] ip address 200.1.1.1 24
#向安全域中添加接口:
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet0/0/1
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet0/0/2
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet0/0/3
#配置域间包过滤策略,使得trust区域的192.168.1.0/24网段用户能够访问Internet:
[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 10
[FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0
0.0.0.255
[FW-policy-interzone-trust-untrust-outbound-10] action permit
#上述配置虽然放通了192.168.1.0/24访问Internet的流量,但是由于192.168.1.0/24是私有IP地址,不能直接进入公网,因此为了让这部分用户能够访问公网,还必须部署 NAT源地址转换:
[FW] nat address-group 1 200.1.1.10 200.1.1.20
#定义NAT地址池,该地址池使用的公网地址区间是200.1.1.10到200.1.1.20
[FW] nat-policy interzone trust untrust outbound
#配置NAT策略
[FW-nat-policy-interzone-trust-untrust-outbound] policy 10
[FW-nat-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0
0.0.0.255
[FW-nat-policy-interzone-trust-untrust-outbound-10] action source-nat #对匹配的流量执行源地址转换
[FW-nat-policy-interzone-trust-untrust-outbound-10] address-group 1 #关联nat地址池1
完成上述配置后,内网用户PC1即可访问公网用户PC2。接下来继续配置防火墙,使得公网用户PC2能够访问WebServer。
#配置域间包过滤策略,使得untrust区域的Internet用户能够访问DMZ区域的web服务
[FW] policy interzone dmz untrust inbound
[FW-policy-interzone-dmz-untrust-inbound] policy 10
[FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0
[FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http
[FW-policy-interzone-dmz-untrust-inbound-10] action permit
[FW-policy-interzone-dmz-untrust-inbound-10] quit
[FW-policy-interzone-dmz-untrust-inbound] quit
#完成上述配置后,Internet用户是依然无法访问WebServer的,因为WebServer是私有IP地址,因此还需要配置NAT server,将DMZ域内的WebServer映射到公网。
#下面的命令,将内部IP地址172.16.1.1的80端口映射到了公网地址200.1.1.21的80端口,这样一来,当公网用户访问200.1.1.21的80端口服务时,实际上访问的就是内部服务器172.16.1.1的80端口。
[FW] nat server zone untrust protocol tcp global 200.1.1.21 80 inside 172.16.1.1
80
完成上述配置后,PC2即可使用目的地址200.1.1.21来访问WebServer。
当PC1 ping PC2时,能够在FW上能看到如下会话:
<FW>display firewall session table
Current Total Sessions : 5
icmp VPN:public --> public 192.168.1.1:40373[200.1.1.15:2048]-->200.1.1.2:2048
icmp VPN:public --> public 192.168.1.1:40885[200.1.1.15:2049]-->200.1.1.2:2048
留意到中括号内的IP地址,便是被NAT转换后的IP地址。
当PC2访问Server的WEB服务时,在FW上能看到如下会话:
[FW]display firewall session table
Current Total Sessions : 1
http VPN:public --> public 200.1.1.2:2055-->200.1.1.21:80[172.16.1.1:80]