目的NAT简介
目的NAT是指对报文中的目的地址和端口进行转换。
通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。转换过程如图1所示。
当外网用户访问内部Server时,FW的处理过程如下:
- 当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。
- 当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。
根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT。
组网需求
某公司在网络边界处部署了FW作为安全网关。为了使服务器能够对外提供不同的服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.10.10)作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP提供的接入网关。
实验拓扑图
将接口加入防火墙区域
[LW1]firewall zone dmz
[LW1-zone-dmz]dis th
2023-11-16 08:34:51.640
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
#
return
[LW1-zone-dmz]q
[LW1]firewall zone untrust
[LW1-zone-untrust]dis th
2023-11-16 08:35:03.680
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
return
配置防火墙安全策略允许私网指定网段与Internet进行报文交互。
security-policy
rule name u_t_d
source-zone untrust
destination-zone dmz
destination-address 172.16.10.0 mask 255.255.255.0
action permit
#
return
配置NAT地址池
destination-nat address-group group2 2
section 172.16.10.5 172.16.10.5
#
return
NAT策略实现私网指定网段访问Internet时自动进行源地址转换。
rule name nat2
source-zone untrust
destination-address 1.1.10.12 mask 255.255.255.255
service protocol tcp destination-port 2000 to 2001
action destination-nat static port-to-port address-group group2 80 to 81
#
配置报文目的地址的黑洞路由,以防路由环路。
[FW] ip route-static 1.1.10.10 255.255.255.255 NULL0
配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
R1路由器配置到公网地址的静态路由,使得去服务器的流量能够送往FW。
[R]ip route-static 1.1.10.12 32 1.1.1.1
实验结果