强叔侃墙 NAT篇 NAT Server 三十二字真言(上篇)_实验一正一反,出入自如去反存正,自断出路

最新推荐文章于 2024-05-29 09:04:59 发布
最新推荐文章于 2024-05-29 09:04:59 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: 强叔侃墙华为防火墙技术漫淡

拓扑结构

 

 

1,VPN配置

采用web方式配置。

FW1配置

FW2配置

Vpn 协商策略

security-policy
 rule name untrust2local_vpn
  source-zone untrust
  destination-zone local
  source-address 1.1.1.2 32
  destination-address 1.1.1.1 32
  service protocol udp destination-port 500
  service protocol udp source-port 500
  action permit
 rule name local2untrust_vpn
  source-zone local
  destination-zone untrust
  source-address 1.1.1.1 32
  destination-address 1.1.1.2 32
  service protocol udp destination-port 500
  service protocol udp source-port 500
  action permit

 

 Nat Server 

一正一反,出入自如

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80

[FW1]display firewall server-map 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 1.1.1.1:9980[192.168.2.2:80],  Zone:---,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.2.2[1.1.1.1] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

 Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80]为正向Server-map表项,其作用为入。在公网用户访问服务器时对报文的目的地址做转换。Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any为反向Server-map表项,其作用为出。当私网服务器主动访问公网时,可以直接使用这个表项将报文的源地址由私网地址转换为公网地址,而不用再单独为服务器配置源NAT策略。这就是防火墙NAT Server做的非常贴心的地方了,一条命令同时打通了私网服务器和公网之间出入两个方向的地址转换通道。

先关闭默认安全策略,用互联网访问内网主机,查看会话表

tcp  VPN: public --> public  ID: c487f663b50b23061df5c21e60d
 Zone: untrust --> trust  TTL: 00:20:00  Left: 00:19:45
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.2.2  MAC: 000c-2924-9304
 <--packets: 1 bytes: 48 --> packets: 254 bytes: 10,176
 1.1.2.2:1047 --> 1.1.1.1:9980[192.168.2.2:80] PolicyName: default

配置untrust到trust的安全策略

rule name accesswebserver
  source-zone untrust
  destination-zone trust
  destination-address 192.168.2.2 32
  service protocol tcp destination-port 80
  action permit

外网主机可以访问内网服务器

内网主机访问internet,NAT策略

rule name internet
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.2.0 24
  action nat easy-ip

————————————————————————————

 

 总部服务器还不能访问internet,还需要配置trust到untrust安全策略

先关闭默认安全策略,用内网主机访问外网web服务,查看会话表

http  VPN: public --> public  ID: c487f663b5125f028635c21e99d
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:19:50
 Interface: GigabitEthernet1/0/1  NextHop: 1.1.1.2  MAC: 00e0-fc04-1b46
 <--packets: 1256 bytes: 50,624 --> packets: 8 bytes: 1,112
 192.168.2.2:53677[1.1.1.1:2049] --> 1.1.2.2:80 PolicyName: default

 配置trust到untrust安全策略,只允许访问web服务。

 rule name trut2untrust                   
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 24
  service http
  action permit

 

———————————————————————— 

服务器访问分部的web服务器

查看会话表

 esp  VPN: public --> public  ID: c487f663b4be750539b5c21ec47
 Zone: untrust --> local  TTL: 00:10:00  Left: 00:09:55
 Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000
 <--packets: 0 bytes: 0 --> packets: 1 bytes: 124
 1.1.1.2:0 --> 1.1.1.1:0 PolicyName: default

 添加untrust 到local安全策略,允许esp报文通过

rule name untrust2local
  source-zone untrust
  destination-zone local
  source-address 1.1.1.2 32
  destination-address 1.1.1.1 32
  action permit

 

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80 no-reverse 

[FW1]dis firewall session table
 Current Total Sessions : 13
 http  VPN: public --> public  192.168.2.2:53521[1.1.1.1:53521] --> 10.0.0.2:80

 


 

 

 

tjjingpan
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火技术-强叔侃电子期刊01期
05-10
华为防火技术-强叔侃电子期刊01期 包含基础知识、安全策略、攻击防范、NAT等...
强叔侃,网络技术,防火技术,,网络安全
11-15
华为网络技术,防火技术,强叔侃,网络安全技术,数通技术
防火技术基础:基于Ensp配置防火NAT server(服务器映射)
最新发布
qq_39241682的博客
05-29 2557
NAT(Network Address Translation,网络地址转换)是一种允许多个设备共享一个公共IP地址的技术。NAT Server,也称为服务器映射,是NAT技术中的一种应用,主要用于将外部网络的访问请求映射到内部网络中的某个具体服务器上。这种技术广泛应用于需要将外网请求路由到内网特定服务器的场景,比如Web服务器、邮件服务器等。
强叔侃03.pdf
09-09
华为防火学习资料,强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03
强叔侃_第5章_GRE L2TP
荆盼的博客
09-03 1441
说到L2TP VPN 必须先将镜头切到互联网发展初期,那个时代个人用户和企业用户大都通过电话线上网,当然企业分支机构和出差用户一般也通过“电话网络[学名PSTN/ISDN]“来接入总部网络。人们将这种基于PSTN/ISDN的VPN命名为VPDN(Virtual Private Dial Network),L2TP VPN是VPDN技术的一种,其他的VPDN技术已经逐步退出了历史舞台。 如图5-19所示,在传统的基于PSTN/ISDN的L2TP中,运营商在PSTN/ISDN和IP网络之间...
nat server的配置与原理
qq_45309500的博客
02-15 9617
nat server的配置与原理 nat sever是解决公网用户访问私网服务器的目的地址转换问题 如图,客户端想访问私网服务器或者服务器要访问客户端,可是要怎么解决呢? 这个时候nat server就闪亮登场了,nat server会将公网地址映射成私网地址,反之也是可以的 下面,就来看一下具体配置 nat server ftp protocol tcp global interface G...
防火————NAT Server
xiazhui1的博客
11-16 2912
NAT(Network Address Translation)服务器是一种网络设备或服务,用于在内部网络和外部网络之间进行地址转换。在网络通信中,每个设备都需要一个唯一的IP地址来进行识别和通信。然而,IPv4地址空间有限,而且经常会出现IP地址不足的情况。为了解决这个问题,引入了NAT技术。NAT具有“屏蔽”内部主机的作用,将内部网络的私有IP地址转换成公网IP地址,从而在有限的公网IP地址下支持多个内部设备与外部网络通信。
解决VMware NAT service服务无法启动问题
weixin_44385465的博客
11-22 7500
Vmware修改nat网卡ip,Vmware nat服务无法启动,vmware ping destination host unreachable
强叔侃NAT,防火技术
11-15
华为网络技术,防火技术,强叔侃,网络安全技术,路由交换安全
NAT.rar_delphi nat_nat delphi_udpserver NAT_udpserver delphi_穿透
09-20
标题中的"NAT.rar_delphi nat_nat delphi_udpserver NAT_udpserver delphi_穿透"主要涉及到的是网络地址转换(Network Address Translation, 简称NAT)技术在Delphi编程环境中的应用,特别是与UDP服务器(UDPserver...
华为USG必备教材强叔侃电子期刊
09-13
回首,伏案数载积沙为塔,呕心沥血终成书,方知路漫长; 前行,重装上阵再踏征程,技术钻研虽艰辛,不惧风雨狂。 斗转星移,暑来寒往,强叔侃第二季终于和大家见面了。岁月如白驹过隙,强叔在与时间赛跑过程中完成了多项工作。首先,整理第一季的贴子,修订错误完善内容;然后与出版社合作,统稿审校确认问题。另外,强叔团队还对比了产品差异,录制了操作视频。。。。回首这半载经历,强叔感叹技术钻研无止境,此间苦累难言表。所幸《华为防火技术漫谈》最终顺利出版上市,深感欣慰之余,也让强叔充满了力量再次出发。 在第二季技术贴中,强叔将为大家介绍反病毒、入侵防御、URL过滤、邮件过滤等内容安全特性,以及用户管理、虚拟系统、带宽管理等功能。同时结合华为下一代防火,讲解上述特性及功能的配置过程。希望通过自己微薄的力量,能够让大家了解下一代防火的技术原理,掌握配置方法。强叔也欢迎大家在线上积极互动,讨论问题答疑解惑,共同进步。 细推物理须行乐,何用浮名绊此身。对于网络工程师而言,调通一个网络定位一个问题,内心获得了快乐和满足,也许真的不用在乎功名利禄。不忘初心,方得始终,技术之路虽然充满艰难坎坷,但我们无惧风雨,坚定前行!
华为防火技术-强叔侃电子期刊03期
05-10
华为防火技术 包括双机热备,VRRP,VGMP, HRP,就近选路,策略路由选路等。
强叔侃02期
07-23
华为防火强叔侃,以幽默风趣的方式讲解了防火技术!
STUN Server.zip_C# STUN_nat 类型 判断_stun p2p_stun server
09-23
STUN(Session Traversal Utilities for NATNAT穿透服务)服务器在现代网络中扮演着重要的角色,尤其是在P2P通信中。NAT(Network Address Translation,网络地址转换)是一种广泛应用于家庭和企业网络的技术,它...
sort_nat.zip_sort nat_sort_nat
07-13
标题中的"sort_nat.zip_sort nat_sort_nat"可能是指一个用于整理文件名的程序或脚本,它采用了自然排序(Natural Sort)的方式,使得文件名按照人类阅读习惯进行排序。自然排序不仅考虑符的顺序,还能理解数序列...
网络安全技术-NAT分类_静态NAT_动态NAT(PooL)基本配置实验.mp3
07-05
网络安全技术-NAT分类_静态NAT_动态NAT(PooL)基本配置实验.mp3
什么是NAT Server?
Tech in Pieces
12-17 3199
首先 这些事干什么用的? private network, use public ip address to provide service for external users. nat server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat还会自动将回应报文的源地址(私网地址)转换成公网地址。 nat server是什么?解决内网问题的nat穿透方法有哪些? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值