华为防火墙natserver 双向nat

示例1  配置NAT Inbound+NAT Server

#
 nat address-group 1 10.1.1.20 10.1.1.25  //地址池中的IP为私网IP ,且和server的私网IP同网段
 nat server 0 global 210.1.1.15 inside 10.1.1.3
#
nat-policy interzone dmz untrust inbound
 policy 1
  action source-nat
  policy destination 10.1.1.3 0  //由于防火墙先做NAT Server转换,再做源NAT转换,所以此处的目的IP是NAT Server转换后的IP
  address-group 1

这里NAT Server的配置和以前见过的类似,但是源NAT的配置和以前见过的不一样:以前地址池中配置的都是公网地址,而这次配置的却是私网地址。
我们通过下图再来看一下报文的地址转换过程:PC访问server的流量经过防火墙时,目的地址(server的公网地址)通过NAT Server转换为私网地址,源地址(PC的公网地址)通过NAT Inbound也转换为私网地址,且和server的私网地址同网段,这样就同时转换了报文的源地址和目的地址,即完成了双向NAT转换。当server的回应报文经过防火墙时,再次做双向NAT转换,报文的源地址和目的地址均转换为公网地址。 

 

示例2 域内NAT+NAT Server

如果希望PC像外网用户一样通过公网地址访问server,就要在防火墙上配置NAT Server。

 

[SRG]dis current-configuration | include nat
17:22:46  2019/01/14
 nat address-group 0 10.1.1.20 10.1.1.25
 nat server 0 global 210.1.1.15 inside 10.1.1.3
nat-policy interzone trust untrust inbound
  action source-nat
  policy destination 10.1.1.3 0
nat-policy zone trust
  action source-nat
  policy destination 10.1.1.3 0

client1用210.1.1.15访问服务器 

[SRG]display firewall session table
17:23:47  2019/01/14
 Current Total Sessions : 1
  icmp  VPN:public --> public 10.1.1.4:256[10.1.1.22:2052]-->210.1.1.15:2048[10.
1.1.3:2048]
[SRG]dis	
[SRG]display  fi	
[SRG]display  firewall se	
[SRG]display  firewall se	
[SRG]display  firewall server-map
17:23:54  2019/01/14
 server-map item(s) 
 ------------------------------------------------------------------------------
 Nat Server, any -> 210.1.1.15[10.1.1.3], Zone: ---
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
   VPN: public -> public

 Nat Server Reverse, 10.1.1.3[210.1.1.15] -> any, Zone: ---
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
   VPN: public -> public

 

  • 2
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值