admin管理员组文章数量:1635839
目的NAT技术
对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。
静态目的nat
实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw ip route-static 2.2.2.0 255.255.255.0 1.1.1.254 ar ip route-static 1.1.10.0 255.255.255.0 1.1.1.1
3、配置安全策略
security-policy rule name 1 source-zone untrust destination-zone trust source-address 2.2.2.0 mask 255.255.255.0 destination-address 10.2.0.0 mask 255.255.255.0 service ftp service http service icmp action permit
4、配置目的nat策略
//配置目的地址池,名字不能是数字 destination-nat address-group a 0 section 10.2.0.10 10.2.0.11 nat-policy rule name 1 source-zone untrust //不能配置目的区域 //如果使用静态一对一映射时,地址池内地址数量必须和目的地址范围一致 destination-address range 1.1.10.10 1.1.10.11 service ftp service http service icmp action destination-nat static address-to-address address-group a
验证和分析
查看会话表(ftp被动模式)
<f1>dis fire session table 2022-02-10 03:30:18.480 Current Total Sessions : 3 icmp VPN: public --> public 2.2.2.2:256 --> 1.1.10.11:2048[10.2.0.11:2048] ftp VPN: public --> public 2.2.2.2:2067 +-> 1.1.10.11:21[10.2.0.11:21] ftp-data VPN: public --> public 2.2.2.2:2068 --> 1.1.10.11:2054[10.2.0.11:2054]
查看server-map表
<f1>dis fire server-map 2022-02-10 03:31:26.950 Current Total Server-map : 1 Type: ASPF, 2.2.2.2 -> 1.1.10.11:2054[10.2.0.11:2054], Zone:--- Protocol: tcp(Appro: ftp-data), Left-Time:00:00:09 Vpn: public -> public
其session table 和server-map都是流量动态生成的。且默认没有生成反向表项。Server-map表项生成的是aspf表,引导ftp数据通道在被动模式下的建立,这是从公网client到私网server之间的tcp连接。没有源端口。
查看session table和server-map(主动模式)
<f1>dis fire server-map 2022-02-10 03:43:44.240 Current Total Server-map : 1 Type: ASPF, 10.2.0.11[1.1.10.11] -> 2.2.2.2:2070, Zone:--- Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13 Vpn: public -> public <f1>dis firewall session table 2022-02-10 03:43:46.090 Current Total Sessions : 2 ftp-data VPN: public --> public 10.2.0.11:20[1.1.10.11:20] --> 2.2.2.2:2070 ftp VPN: public --> public 2.2.2.2:2069 +-> 1.1.10.11:21[10.2.0.11:21]
可见即使在主动模式下,fw也会动态建立server-map表项。
实验二:公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)
需求和拓扑
某公司在网络边界处部署了FW作为
版权声明:本文标题:HCIE-Security Day7:6个实验理解目的NAT 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1729217276a1190570.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论