客户的外网线路是一个ADSL,公网IP是不固定的,这种怎么去做映射呢?飞塔是可以实现不固定IP做映射的,下面我们来一探究竟吧!
我内部有一台Paloalto防火墙,通过https://192.168.66.124可以正常在内网登录,需要做目的映射的话,我的内部主机IP就是192.168.66.124,端口443,我对外的端口就设定为4443.
1)基础配置省略
2)新建一个虚拟IP,需要注意我们的外网线路是Adsl,所以外部ip就是一个不固定的IP地址,那么怎么解决这个问题呢?我们可以将接口选择ADSL的接口,外部IP保持默认0.0.0.0,这样外部的IP地址变化时,映射的IP也是随着变化,因为只指定的源接口,没指定源IP。
2)新建一条防火墙策略,此处的服务是放行映射主机的端口此处也就是443
3)在互联网环境进行测试,https://公网的IP:4443可以正常登录,但是在外网访问的时候这个公网IP也不是固定的,怎么解决呢?可以参考我之前的一篇DDNS,后续就可以通过https://域名:4443访问
飞塔防火墙默认是提供免费的DDNS,当然也可以对接第三方的DDNS
4)在飞塔防火墙上查看下目的映射Dnat的日志
5)下面探究下开启NAT的情况!安全策略开启NAT,在查看下相关的日志
6)查看日志
总结下防火墙策略开启NAT的好处和坏处:
好处:开启当映射主机到防火墙不能互通时,可以开启NAT将源地址转换为防火墙的出接口地址,可以保证映射可以正常访问。
坏处但是对于映射的主机来说,看到的源IP地址就是防火墙的流出接口IP,不利于日志收集和安全追溯