华为AR-FTP-主动模式Port-Mapping

最新推荐文章于 2024-01-19 23:16:13 发布
最新推荐文章于 2024-01-19 23:16:13 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: Huawei 文章标签: FTP Port-Mapping

【AR路由器配置端口映射(port-mapping)】

配置端口映射
端口映射支持基于基本ACL的协议端口映射。设备支持的端口映射支持的应用层协议包括FTP、DNS、HTTP、SIP、PPTP和RTSP。

背景信息
应用层协议通常使用知名端口号进行通信。端口映射允许用户对不同的应用层协议定义一组新的端口号,使服务器更少地受到针对某种服务的恶意攻击。端口映射只有和ASPF、NAT等针对业务敏感的特性联合使用的时候才具有实际意义。

端口映射基于ACL进行,只有匹配某条ACL的报文,才会实施端口映射。端口映射使用基本ACL(编号2000~2999)。端口映射在使用ACL过滤报文时,使用报文的目的IP地址去匹配基本ACL规则中配置的IP地址。

操作步骤
执行命令system-view,进入系统视图。
执行命令port-mapping { dns | ftp | http | sip | rtsp | pptp } port port-number acl acl-number,配置端口映射。
补充:undo port-mapping命令用来清除端口和应用层协议的映射关系
配置端口映射时,一个协议可以配置多个映射端口;一个端口可以映射为多个协议,但是必须通过ACL进行区分,匹配不同ACL的报文使用不同的映射关系。

说明:
端口映射实际上是针对访问某个特定IP地址(例如WWW服务器)的报文进行协议识别,因此在匹配基本ACL规则时,使用报文的目的地址去匹配ACL规则中定义的源IP地址。

检查配置结果
执行命令display port-mapping [ dns | ftp | http | rtsp | sip | port port-number | pptp ],查看端口映射的相关信息。

配置ASPF和端口映射示例
组网需求
这里写图片描述

如图1所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤和ASPF检查。具体要求如下:
外部特定主机(202.39.2.3)允许访问内部网络中的服务器。
其余的访问均不允许。
对上述访问的连接进行FTP状态检查,过滤不符合状态的报文。
对于外部主机访问FTP服务器的报文,识别2121端口为FTP协议。
图1 配置ASPF和端口映射组网图

配置思路
采用如下思路配置ASPF和端口映射:

配置安全区域和安全域间。

将接口加入安全区域。

配置ACL。

在安全域间配置基于ACL的包过滤。

在安全域间配置ASPF。

配置端口映射,将2121端口映射为FTP协议通信端口。

操作步骤
在Router上配置安全区域和安全域间。
system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 14
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] firewall enable
[Huawei-interzone-trust-untrust] quit
在Router上将接口加入安全区域。
[Huawei] vlan 100
[Huawei-vlan100] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] ip address 129.38.1.1 24
[Huawei-Vlanif100] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] port link-type access
[Huawei-Ethernet2/0/0] port default vlan 100
[Huawei-Ethernet2/0/0] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] zone trust
[Huawei-Vlanif100] quit
[Huawei] interface gigabitethernet 3/0/0
[Huawei-GigabitEthernet3/0/0] ip address 202.39.2.1 24
[Huawei-GigabitEthernet3/0/0] zone untrust
[Huawei-GigabitEthernet3/0/0] quit
在Router上配置ACL。
[Huawei] acl 2102
[Huawei-acl-basic-2102] rule permit source 129.38.1.2 0.0.0.0
[Huawei-acl-basic-2102] quit
[Huawei] acl 3102
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.2 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.3 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.4 0.0.0.0
[Huawei-acl-adv-3102] rule deny ip
[Huawei-acl-adv-3102] quit
在Router上配置包过滤。
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] packet-filter 3102 inbound
在Router上配置ASPF。
[Huawei-interzone-trust-untrust] detect aspf ftp
[Huawei-interzone-trust-untrust] quit
在Router上配置端口映射。
[Huawei] port-mapping ftp port 2121 acl 2102
检查配置结果。
在Router上执行display firewall interzone zone-name1 zone-name2,结果如下。

[Huawei] display firewall interzone trust untrust
interzone trust untrust
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3102 inbound
detect aspf ftp
在Router上执行display port-mapping ftp,结果如下。

[Huawei] display port-mapping ftp

Service Port Acl Type

ftp 21 system defined
ftp 2121 2102 user defined

Total number is : 2
配置文件

vlan batch 100

acl number 2102
rule 5 permit source 129.38.1.2 0

acl number 3102
rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0
rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.4 0
rule 20 deny ip

port-mapping ftp port 2121 acl 2102

interface Vlanif100
ip address 129.38.1.1 255.255.255.0
zone trust

firewall zone trust
priority 14

firewall zone untrust
priority 1

firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
detect aspf ftp

interface Ethernet2/0/0
port link-type access
port default vlan 100

interface GigabitEthernet3/0/0
ip address 202.39.2.1 255.255.255.0
zone untrust

return

tttccabc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网御防火墙端口映射
you_ranxi的博客
11-03 6782
一、端口映射概念及用途 采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网内部机器的特定端口服务的访问。例如,你所使用的机子处于一个连接到Internet的局域网内,你在机子上所开的所有服务(如FTP),默认情况下外界是访问不了的。这是因为你机子的IP是局域网内部IP,而外界能访问的只有你所连接的服务器的IP,由于整个局域网在Internet上只有一个真正的IP...
关于华三路由器nat映射ftp端口号登录服务器失败问题
qq_42249402的博客
04-28 2267
组网环境: 因为工作需要,今天与同事一起测试了通过Nat之后访问内网的FTP服务器的问题。测试结构很简单,出口是一台MSR360路由器,在路由器上做了nat静态映射,将内部地址的FTP映射到外部接口。 内网测试了服务正常,但通过外网访问时一直报错。 起初以为是文件夹权限和账号问题,但这个并没任何限制,问题的原因还是出在这个映射上。 [MSG-360-4-PWR-GigabitEthernet1/0/5] nat server protocol tcp global current-interface
防火墙基础知识
热门推荐
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络,防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
FTP主动模式port)和被动模式(PASV)有什么区别
qq_23930765的博客
06-15 372
FTP客户端使用N(N>1023)连接FTP服务器的21端口,发送用户名和密码登录,登录成功后要list列表或者读取数据时,发送PASV命令到FTP服务器, 服务器在本地开放一个端口(1024以上),然后把开放的端口告诉客户端, 客户端再通过N+1端口连接到服务器开放的端口进行数据传输。二者的区别主要在于建立数据传输连接的时候,主模式的连接发起方为服务器端,使用20号端口连接客户端的N+1端口建立数据连接;主动模式下,客户端的FTP软件设置主动模式开放的端口段,在客户端的防火墙开放对应的端口段即可。
端口映射的定义、特点、场景、实例、常见问题回答(Port Mapping
weixin_70208651的博客
01-19 4057
端口映射是将外网主机的IP地址的一个端口映射到内网中,一台机器提供相应的服务。当用户访问该IP的这个端口时,服务器会自动将请求映射到对应局域网内部的机器上。当有远程控制的需求时,比如实际中有远程控制的需求。这个时候我们就需要端口映射这样的操作,用来把目的端口是“指定端口号”的数据包和“指定的主机端口号”联系起来以方便远程控制。当公网用户无法直接访问到内网服务时,需要借助端口映射技术。端口映射经常应用到视频领域,用于内网的服务器提供公网的服务。
HCE-DIatcom SR LAB实验手册
03-12
- 使用`ospf segment-routing mapping-server send`命令,使其他设备能够接收prefix-SID信息。 - 配置`mpls lsp-trigger segment-routing-interworking best-effort host 10.1.1.1/32`,以便为10.1.1.1/32的prefix-...
HCIE-Datacom SR LAB实验手册
最新发布
03-12
- 映射服务器(mapping-server)将LDP标签转换为Prefix-SID sub TLV,并同步到SR-domain。 - 作为LDP egress代理,为10.1.1.1/32的Prefix SID分配LDP标签,发送给R5。 - **配置命令示例:** ``` segment-routing ...
华为HCIP-RS培训视频教程【共56集】.rar
10-17
12-vlan高级配置之vlanmapping 13-hybrid(上) 14-hybrid(下) 15-ssh 16-mstp 17-vrrp_mstp 18-ospf概要(上) 19-ospf概要(下) 20-ospfdr、Bdr 21-ospf认证、虚链路、静默接 22-ospf排错 23-ospf...
激光slam A-LOAM
09-29
A-LOAM是香港科技大学、华为天才少年秦通博士对张绩的LOAM框架进行强化的一个激光SLAM框架。作为学习激光SLAM的入门框架,A-LOAM的代码可读性和框架思路都值得激光SLAM初学者仔细研读。这个框架使⽤Eigen以及Ceres-...
华为mux-vlan设置
09-12
- 端口必须配置为接入模式并加入指定的VLAN,不能在VLANIF接口、VLAN Mapping、VLAN Stacking、Super-VLAN或Sub-VLAN上配置MUX VLAN。 - 配置完成后,应检查VLAN状态,确保所有接口的配置正确无误。如`display ...
华为防火墙实验基础篇-1
SSR_ZZ的博客
05-30 2844
安全区域配置、管理(SSH、WEB)、DHCP、PPPoE、NAT、Portal认证
ftp端口映射问题(待解决)
weixin_45052781的博客
10-31 924
华为路由器通过FTP/TFTP备份、恢复(更新)系统文件和配置文件
lehe99的专栏
09-29 5230
网络设备可以从FTP服务器获取vrp系统文件,也可以将日志文件和配置文件保存到FTP服务器进行备份。
【nat实验】华为nat配置实验:内网能够访问外网,内网服务器80端口映射出去
weixin_51338719的博客
03-17 7690
用到了nat的常见的两个方式,napt和nat server的两种方式,这样能使用ip地址+端口的方式进行nat转换,内网的用户可以访问外网,用nat server的方式可以将内网的www或者ftp服务映射出去供外网访问
Loadrunner Port Mapping录制方法
littlebigbar的专栏
07-17 2985
Loadrunner Port Mapping录制方法(一种通用的录制脚本的方法)以下观点不一定正确,仅供大家参考!我们在很多时候因为无法录制脚本而困惑,如loadrunner使用FTP协议录制Core FTP Lite时,只能看到loadrunenr捕获到事件,但无法生成脚本,又比如使用POP3或SMTP协议录制邮件收发时也是只能捕获到时间,但无法生成脚本,此时我介绍一种万能的录制方法可
华为防火墙
H2223的博客
04-01 1426
防火墙基础
华为USG防火墙NAT
weixin_34318272的博客
01-24 310
拓扑:基本配参照华为防火墙USG基本配置(http://692344.blog.51cto.com/682344/1607629)下面只给出客户端和服务器端配置:                  防火墙配置:  策略配置: 监控FTP配置(FTP是动态协议):测试:  ----------------------------------如果FTP使用特殊端口要配置如下:acl number 20...
LR中端口映射(port mapping)的原理和应用(Zee)
Zee的原创
06-19 6246
我看到有一些关于端口映射的说明。其实这种的录制方法,在手册里有很详细的说明的。并不是LR的彩蛋。一般情况下,只要正常情况可以录制,我建议不要用这种方式来录制。简单来说,这里就是多了一些判断,如果符合这个设置的条件,就做为设置的协议来解析。并且,为什么是基于套接字级别的才能映射呢。LR从winsock这一层来抓包并且在选择不同的协议的时候,LR抓到数据包之后调用不同的协议文件来解析抓
端口映射(Port Mapping)的几种方法
weixin_30251587的博客
03-13 1572
 采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网内部机器的特定端口服务的访问。笔者总结了在教学与组网实践中采用的几种端口映射方法,在此与大家交流探讨。   利用IIS实现WWW和FTP服务的重定向      Windows 2000和Windows XP都包含了IIS组件,其中的WWW和FTP服务具有主目录重定向设置,与端口映射相比,虽名称不同但作用类似。...
华为HCDP全攻略:OSPF+BGP+VLAN+MPLS详解
本资源是一份详尽的华为HCNP-HCDP学习笔记PDF,涵盖了华为认证网络专业设计(HCNP-HCDP)所需的深入理解和实践知识。这份笔记主要分为两部分:OSPF路由协议和华为交换技术。 第一部分:OSPF路由协议 1. OSPF基础:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值