14 防火牆篇之NAT部署

2021-08-28 05:35:30 字數 3651 閱讀 9818

拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)

分析:我們nat需求有2個,乙個是不過內網可以正常訪問外網,另外乙個則是對外提供web服務與ftp服務。其實這個都不是難點,當有時候,我們遇到一些需求,比如內網使用者通過外網位址或者公網網域名稱訪問,內部的伺服器,這一般在沒有部署內部dns伺服器的時候才使用,如果內部有伺服器了的話,就直接通過內部伺服器進行解析了。

由於有2個isp,我們必須部署到不同isp的nat,這樣都可以進行nat訪問。

到電信isp的nat策略

[usg-gw]nat-policy interzone trust isp_dx outbound

[usg-gw-nat-policy-interzone-trust-isp_dx-outbound]policy 1

[usg-gw-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16

[usg-gw-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat

[usg-gw-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1

說明:這裡部署了電信的isp nat,匹配了192.168.0.0/16網段的執行source-nat,然後用出介面位址進行nat轉換,當然也可以呼叫位址池,但是一般情況下使用出介面進行轉換足夠了,其餘的公網ip用於做位址對映。

到聯通isp的 nat策略

[usg-gw]nat-policy interzone trust isp_lt outbound

[usg-gw-nat-policy-interzone-trust-isp_lt-outbound]policy 1

[usg-gw-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16

[usg-gw-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat

[usg-gw-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2

說明:這裡部署了聯通的isp nat,匹配了192.168.0.0/16網段的執行source-nat,然後用出介面位址進行nat轉換,當然也可以呼叫位址池,但是一般情況下使用出介面進行轉換足夠了,其餘的公網ip用於做位址對映。

說明:對於nat server實現其實非常好實現,當時需要注意乙個地方,相同zone的雙出口與不同zone的雙出口配置不不太一樣,這個在配置中會提到,另外這裡還需要放行外網到內網的訪問流量,也就是訪問伺服器的。

[usg-gw]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www

[usg-gw]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp

說明:該nat轉換則是為從電信來的訪問202.100.1.3的www或者ftp服務的時候直接對映到內網位址88.251的www與ftp服務。

[usg-gw]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www

[usg-gw] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www

說明:說明:該nat轉換則是為從聯通來的訪問61.128.1.3的www或者ftp服務的時候直接對映到內網位址88.251的www與ftp服務。

對於相同zone來說,它的區別與不同zone非常小,除了zone是同乙個zone外,另外就是在加乙個引數為no-reverse,該意思的時候是,伺服器不能主動訪問外網,而是只能被動被接受訪問,這是因為在相同zone內,對映位址都是通過位址來區別的,乙個內網位址不能同時通過2個ip位址轉換出去,這樣是實現不了的。所以只能被動接收訪問,而不同zone則不一樣,它有zone作為區分,所以可以識別到低是從哪個zone**。

可以看到已經有映**。測試結果等部署了路由技術後一起測試。

當部署了nat server後,還需要做的一件事就是,必須讓外網的流量可以訪問內網,必須允許,否則一樣無法訪問,我們這裡需要允許的是兩個isp到trust 192.168.88.251的ftp與www流量需要都放行了。

電信isp到內網的流量放行

說明:這裡允許了電信到trust的inbound流量,注意的是這裡從isp到trust,匹配的是目的位址,所以這裡定義目的位址為192.168.88.251,服務為ftp與http放行。

聯通isp到內網的流量

說明:這裡允許了聯通到trust的inbound流量,注意的是這裡從isp到trust,匹配的是目的位址,所以這裡定義目的位址為192.168.88.251,服務為ftp與http放行。

目前暫時無法測試,因為路由還沒有部署。

防火牆 源NAT

不同的nat型別對應不同的nat策略,在fw上處理順序不同。1 w收到報文後,查詢nat server生成的server map表,如果報文匹配到server map表,則根據表項轉換報文的目的位址,然後進行第四步 若沒有匹配到,則進行下一步 2 查詢基於acl的目的nat,如果報文符合匹配條件,則...

Linux之防火牆部署

環境 vmware 系統 red hat 7 重啟防火牆 systemctl restart firewalld 開啟防火牆 systemctl start firewalld 例如開發8080埠 firewall cmd zone public add port 8080 tcp permanen...

如何穿越防火牆NAT

如何穿越防火牆nat,首先需要計算機節點可以自動判斷自己的nat狀態,計算機節點內部內建了 判斷邏輯,在外部需要一台stun的伺服器,通過傳送請求後可以計算機節點自己所在nat的情況.在處理full cone nat時由於ip位址和通訊埠都不做限制可以說它在通訊層面的級別和公網節 點是一致的.穿越這...