NAT-Server(基于USG6000V)

已于 2024-07-12 16:15:55 修改
阅读量800 收藏 15
点赞数 22
分类专栏: 网络安全 文章标签: 网络 网络安全 运维 信息与通信
于 2024-06-27 21:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008548/article/details/140017234
版权

目录

Nat-Server实验

 地址映射

 实验配置

 抓包验证

 服务器端口映射

 实验配置

服务器登录测试

抓包验证

NAT-Server只是目的NAT的一种简洁的配置方式,而且是静态映射,目的NAT其实跟源NAT一样是可以通过NAT策略的方式进行配置的,详细文章可以参考另一篇文章目的NAT(基于USG6000V)-CSDN博客

Nat-Server实验

 地址映射

服务器使用一个PC机模拟,IP地址192.168.1.1,网关是192.168.1.254,在出口防火墙上映射的公网地址是2.2.2.2。

注:不建议把防火墙的出接口地址作为NAT-Server的公网IP地址,如果必须这样配置,那么就配置指定协议和端口的NAT Server,避免NAT Server与防火墙的Telnet、Web等管理协议有冲突。

 实验配置

路由器配置

# 配置公网用户访问服务器公网地址的路由,下一跳发给防火墙

[Huawei]ip route-static 2.2.2.2 32 1.1.2.1


[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.2.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 1.1.1.1 24

出口防火墙IP地址配置

# 配置防火墙默认路由,不然不知道如何返回响应报文

[USG6000V1]ip route-static 0.0.0.0 0 1.1.2.2

[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 1.1.2.1 24
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.1.254 24

 防火墙接口加入安全区域

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface g1/0/1
[USG6000V1-zone-dmz]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0 

 防火墙NAT-Server配置

no-reverse是不允许服务器使用公网地址上网,如果需要server主动访问外网,就取消no-reverse

unr-route是表示下发UNR,也就是黑洞路由的作用,防止路由环路的,当然也可以配置相关的静态路由ip route-static 2.2.2.2 32 NULL 0

yingshe是nat-server这个策略的名字

2.2.2.2是公网地址,192.168.1.1是内网服务器地址

 [USG6000V1]nat server yingshe global 2.2.2.2 inside 192.168.1.1 no-reverse unr-route

 安全策略配置

策略的目的地址应配置的是服务器的私网地址192.168.1.1,而不是服务器对外映射的公网地址

[USG6000V1] security-policy
[USG6000V1-policy-security]rule name visit_server
[USG6000V1-policy-security-rule-visit_server]source-zone untrust 
[USG6000V1-policy-security-rule-visit_server]destination-zone dmz
[USG6000V1-policy-security-rule-visit_server]destination-address 192.168.1.1 32  
[USG6000V1-policy-security-rule-visit_server]action permit 

查看Server-map表

Server-map表是静态的,没有老化时间,并且配置完Nat Server就会自动生成Server-map表。如果没有配置no-reverse,还会生成另一条服务器使用公网地址上网的Server-map表。

 [USG6000V1]display firewall server-map 
2024-07-09 12:10:24.080 
 Current Total Server-map : 6
 Type: Nat Server,  ANY -> 2.2.2.2[192.168.1.1],  Zone:---,  protocol:---
 Vpn: public -> public

 抓包验证

外网用户1.1.1.2 Ping 服务器的映射地址2.2.2.2

防火墙GE1/0/0接口抓包 是1.1.1.2<----->2.2.2.2都是公网地址

防火墙GE1/0/1接口抓包 是1.1.1.2<----->192.168.1.1也就是目的地址转换成了私网地址,成功转换了地址

 服务器端口映射

同一个公网地址可以根据不同端口对应不同的服务器

更改拓扑图为

 实验配置

实验在上一个地址映射的基础上做。

NAT-Server配置修改

# 删除之前做的NAT-Server

[USG6000V1]undo nat server name yingshe

# 配置2.2.2.2的8080端口对应Web服务器的80端口

[USG6000V1]nat server Web protocol tcp global 2.2.2.2 8080 inside 192.168.1.1 80 unr-route 

# 配置2.2.2.2的2121端口对应Ftp服务器的21端口

[USG6000V1]nat server Ftp protocol tcp global 2.2.2.2 2121 inside 192.168.1.2 21 unr-route 

 注:在这我使用的是8080这个端口映射内网服务器的80端口,但是一些地区的运营商会阻断新增的端口80、8000、8080业务,可能导致业务无法访问,所以8080在真实场景如果不行,建议换个别的端口号

unr-route就相当于黑洞路由

安全策略修改

增加一台服务器的IP地址192.168.1.2

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name visit_server   
[USG6000V1-policy-security-rule-visit_server]destination-address 192.168.1.2 32

 注:因为取消了之前做的那个服务器映射,现在访问 2.2.2.2是不通的只有访问2.2.2.2加上对应的端口号才可以

启动FTP服务器和Web服务器端口就是分别对应的21和80,这个地方的端口号因为防火墙映射的就是这两个端口,所以就不要改了

查看Server-map表

[USG6000V1]display firewall server-map 
2024-07-09 12:06:23.890 
 Current Total Server-map : 4
 Type: Nat Server,  ANY -> 2.2.2.2:2121[192.168.1.2:21],  Zone:---,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server,  ANY -> 2.2.2.2:8080[192.168.1.1:80],  Zone:---,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.1[2.2.2.2] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

 Type: Nat Server Reverse,  192.168.1.2[2.2.2.2] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

 可以看出Server-map中明确标识了端口号,只有命中2121或者8080端口号才算命中了Server-map表,才可以转换目的地址向私网服务器转发。

下面两条是私网服务器可以使用公网的映射地址访问外网,因为我做Nat Server没有配置no-reverse,所以就会有这两条Server-map表项。

服务器登录测试

客户端访问FTP服务器2.2.2.2 端口号2121 测试成功

客户端访问Web服务器2.2.2.2 端口号8080 测试成功

抓包验证

FTP协议的

在防火墙两边抓包

防火墙NAT转换

结果很显然,端口2121转为了21端口 地址2.2.2.2转为了192.168.1.2

HTTP协议的

结果很显然,端口8080转为了80端口 地址2.2.2.2转为了192.168.1.2

YancyYue
关注
  • 22
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ENSP 防火墙USG6000V NAT 设置(全场景)
sgslwms的博客
06-22 1万+
防火墙作为出口网关NAT的情况
基于eNSP的IPv6 IPv4互通技术-NAT64配置实例
weixin_47402139的博客
02-27 1781
基于eNSP的IPv6 IPv4互通技术-NAT64配置实例(含动态NAT64映射和静态NAT64映射),内容包含拓扑图、配置命令、验证命令和验证效果、相关会话、相关数据包的抓包分析
华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 2423
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
目的NAT(基于USG6000V
YancyYue颜悦的专栏
07-09 907
静态目的NAT策略、动态目的NAT策略NAT-Server
华为USG6000V防火墙简单配置案例
热门推荐
谢公子的博客
08-18 12万+
  如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1.1.1.100。FW1是企业边界防火墙,充当路由和保护企业安全的责任。AR1、AR2是外网路由器。 PC1是Trust区域、Server是DMZ区域,AR1、AR2是Untrust区域。...
华为USG6000V1防火墙实现源目地址转换——不用server-map方式
weixin_39220801的博客
08-13 2317
一、要求: 防火墙本地创建两个安全区域,DMZ和Untrust; DMZ区访问外部地址,可见的为内部地址; Untrust区看到发起访问的地址也是外部地址; 二、实验环境说明: 三、实现步骤: 1、将端口划到安全区域: firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 firewall zone dmz set priority 50 add interface GigabitEthernet1/0/0 2、按照.
防火墙详解(USG6000V
Thewei666的博客
07-08 1056
例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求会话表技术:提高转发效率的关键,其主要是采用老化机制。
安全设备-华为防火墙NAT环境配置IPSec
qq_43381463的博客
11-03 3352
在华为防火墙NAT环境下配置IPSec——NAT穿透
华为防火墙的NAT介绍及配置详解
lvjianzhaoa的博客
08-06 1800
博文大纲:一、华为防火墙NAT的六个分类;二、解决NAT转换时的环路及无效ARP;三、server-map表的作用;四、NAT对报文的处理流程;五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network...
EVE-NG的华为USG6000V镜像
08-02
华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用。产品具备丰富的网关业务能力,如vFW、vIPSec、vLB、vIPS、vAV、vURL过滤等,...
USG6000V-enspv1.3 +virtualBox + USG6000V设备包
01-23
USG6000V-enspv1.3 +virtualBox + USG6000V设备包,华为USG6000V,基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,可以导入到ensp中
ENSP-USG6000V.zip
05-03
华为USG6000V,基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,可以导入到ensp中
ensp-USG6000V组件.zip
05-18
亲测可用,删除里面的temp.txt文件(解决资源冲突),使用的环境ensp V100R003C00SPC100 以及virtualbox 5.2.30
华为USG6000V镜像包.rar
12-02
华为ensp防火墙USG6000V镜像包
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 676
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 422
原生WebSocket: new WebSocket。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 955
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
访问控制的定义与原理
SafePloy_SH的博客
07-11 333
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。
eve-ng usg6000v镜像下载
09-05
要下载EVE-NG USG6000V镜像,可以按照以下步骤进行: 1. 首先,访问EVE-NG官方网站(https://www.eve-ng.net/)。 2. 在官方网站上,找到并点击“DOWNLOADS”(下载)选项卡。 3. 在下载页面上,点击“Unetlab Lab ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值