示例1 配置NAT Inbound+NAT Server
#
nat address-group 1 10.1.1.20 10.1.1.25 //地址池中的IP为私网IP ,且和server的私网IP同网段
nat server 0 global 210.1.1.15 inside 10.1.1.3
#
nat-policy interzone dmz untrust inbound
policy 1
action source-nat
policy destination 10.1.1.3 0 //由于防火墙先做NAT Server转换,再做源NAT转换,所以此处的目的IP是NAT Server转换后的IP
address-group 1
这里NAT Server的配置和以前见过的类似,但是源NAT的配置和以前见过的不一样:以前地址池中配置的都是公网地址,而这次配置的却是私网地址。
我们通过下图再来看一下报文的地址转换过程:PC访问server的流量经过防火墙时,目的地址(server的公网地址)通过NAT Server转换为私网地址,源地址(PC的公网地址)通过NAT Inbound也转换为私网地址,且和server的私网地址同网段,这样就同时转换了报文的源地址和目的地址,即完成了双向NAT转换。当server的回应报文经过防火墙时,再次做双向NAT转换,报文的源地址和目的地址均转换为公网地址。
示例2 域内NAT+NAT Server
如果希望PC像外网用户一样通过公网地址访问server,就要在防火墙上配置NAT Server。
[SRG]dis current-configuration | include nat
17:22:46 2019/01/14
nat address-group 0 10.1.1.20 10.1.1.25
nat server 0 global 210.1.1.15 inside 10.1.1.3
nat-policy interzone trust untrust inbound
action source-nat
policy destination 10.1.1.3 0
nat-policy zone trust
action source-nat
policy destination 10.1.1.3 0
client1用210.1.1.15访问服务器
[SRG]display firewall session table
17:23:47 2019/01/14
Current Total Sessions : 1
icmp VPN:public --> public 10.1.1.4:256[10.1.1.22:2052]-->210.1.1.15:2048[10.
1.1.3:2048]
[SRG]dis
[SRG]display fi
[SRG]display firewall se
[SRG]display firewall se
[SRG]display firewall server-map
17:23:54 2019/01/14
server-map item(s)
------------------------------------------------------------------------------
Nat Server, any -> 210.1.1.15[10.1.1.3], Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server Reverse, 10.1.1.3[210.1.1.15] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public