首页> 网络> NAT服务器映射

[文章]NAT服务器映射

收藏
0 1862 0

NAT服务器映射

 

【摘要】

服务器映射用来把服务器公网地址映射为内部真实私网地址,使公网用户能够访问私网服务器,同时达到隐藏私网服务器的目的。本文介绍利用防火墙作静态映射的相关配置,所谓静态映射(NAT Server),即实现公网地址和私网地址一对一的映射。

【正文】

场景:防火墙华为USG6000系列,1个需要作映射的内网IP2个以上公网静态IP,做NAT地址池,其中一个做服务器映射。

   接口的配置

1. trust安全区域,内网接口的配置

Web视图方式:

网络>接口

填写基本信息完成内网接口配置(既作业务口,亦作管理口)


CLI命令:

interface GigabitEthernet1/0/1

alias LAN

ip address 10.13.9.3 255.255.255.248

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage snmp permit

service-manage telnet permit

 

2. untrust安全区域,外网接口的配置

Web视图方式:

网络>接口

根据运营商提供的信息(IP,掩码,网关,DNS..)填写对应信息,完成外网接口的配置,对端为运营商网关


CLI命令:

interface GigabitEthernet1/0/0

alias Internet

ip address 183.xx.150.xx 255.255.255.248

gateway 183.xx.150.xx

anti-ddos flow-statistic enable

 

3. 静态路由设置

Web视图方式:

网络>路由>静态路由

对端为交换机网关


CLI命令:

ip route-static 10.0.0.0 255.0.0.0 10.13.9.1

 

二   NAT策略配置

1. NAT地址池

Web视图方式:

策略>NAT策略>NAT>NAT地址池

如果是有多个公网静态IP,一般运营商给到的都是连续的IP,所以这里IP地址范围就是填写起止IP


CLI命令:

nat address-group pools

section 0 183.xx.150.xx 183.xx.150.xx

 

2. NAT

Web视图方式:

策略>NAT策略>NAT>NAT

NAT的配置,使内网能正常访问互联网,其过程:

内网IP:端口àNAT转换后的IP:端口à目的IP:端口(互联网) 

CLI命令:

nat-policy

rule name nat_policy

source-zone trust

destination-zone untrust

action nat address-group pools

 

3. 服务器映射

Web视图方式:

策略>NAT策略>服务器映射

公网地址即映射发布出来的地址,私网地址指要作映射的服务器IP

CLI命令:

nat server NAT_server global 183.xx.150.xx inside 10.13.10.10 no-reverse

 

三   策略路由

多出口的情况下,需要配置策略路由,单出口的情况下就不需要(配置了也不影响)

Web视图方式:

网络>路由>智能选路>策略路由

CLI命令:

policy-based-route

rule name PBR_webserver

source-zone trust

destination-address address-set webserver

action pbr egress-interface GigabitEthernet1/0/0 next-hop 183.xx.150.xx

 

四   安全策略

Web视图方式:

策略>安全策略>安全策略

配置安全策略,使untrustàtrust仅允许80端口,并禁止untrust任何对local的访问

CLI命令:

security-policy

rule name allow_webserver

policy logging

source-zone untrust

destination-zone trust

service http

action permit

rule name deny_untrust_to_local

policy logging

source-zone untrust

destination-zone local

action deny

rule name deny_untrust_to_trust

policy logging

source-zone untrust

destination-zone trust

action deny

 

五   Telnet端口测试

telnet检查端口是否通

  

网络
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}