【防火墙域内双向NAT技术】

最新推荐文章于 2025-06-27 09:09:06 发布
最新推荐文章于 2025-06-27 09:09:06 发布
阅读量829 收藏 29
点赞数 13
CC 4.0 BY-SA版权
文章标签: 华为 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79794013/article/details/147538056

防火墙域内双向NAT技术

相关技术介绍

NAT转换技术

防火墙相关技术

实验目的

1.使外网用户通过公网映射的ip地址顺利访问内网服务器
2.使内网用户成功访问内网
3.使内网用户可以通过公网映射的ip地址访问内网主机

实验拓扑图展示

在这里插入图片描述

基础实验配置

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述接口配置省略(如图所示)

将1/0/1口和1/0/0口分别加入untrust和trust区域

[firework]firewall zone untrust
[firework-zone-untrust]add interface GigabitEthernet 1/0/1
[firework]firewall zone trust
[firework-zone-untrust]add interface GigabitEthernet 1/0/0

在防火墙上配置外网主机到内网服务器的安全策略和nat server

配置从外网到内网的安全策略

[firework]security-policy
[firework-policy-security]rule name to_trust
[firework-policy-security-rule-to_trust]source-zone untrust
[firework-policy-security-rule-to_trust] destination-zone trust
[firework-policy-security-rule-to_trust] destination-address 192.168.1.0 mask 255.255.255.0
[firework-policy-security-rule-to_trust]action permit

配置从外网到内网的NAT server

[firework]nat server global 100.1.1.2 inside 192.168.1.3

发现可以ping通
在这里插入图片描述

在防火墙上配置内网主机到外网的安全策略和nat策略

配置从内网到外网的安全策略

[firework]security-policy
[firework-policy-security]rule name to_untrust
[firework-policy-security-rule-to_trust]source-zone trust
[firework-policy-security-rule-to_trust]destination-zone untrust
[firework-policy-security-rule-to_trust]destination-address 100.1.1.0 mask 255.255.255.0
[firework-policy-security-rule-to_trust]action permit

配置从外网到内网的NAT策略(采用easy-ip的方式)

[firework]nat-policy
[firework-policy-security]rule name to_untrust
[firework-policy-security-rule-to_trust]source-zone trust
[firework-policy-security-rule-to_trust]destination-zone untrust
[firework-policy-security-rule-to_trust]destination-address 100.1.1.0 mask 255.255.255.0
[firework-policy-security-rule-to_trust]action source-nat easy-ip

在这里插入图片描述
发现也可以ping通

在防火墙上配置内网主机到访问内网服务器

因为在同一个安全区域里面,所以不需要配置安全策略,只需配置nat策略即可

当内网主机访问内网服务器是会出现一个现象,内网主机发送给服务器的目标地址和回应时的源ip地址不同,像这样:
发出去时:192.168.1.2->100.1.1.2 192.168.1.2->192.168.1.3
回应时:192.168.1.3->192.168.1.2
因此,无法建立tcp连接,导致ping不同

所以需要在防火墙上面配置nat策略转换源ip地址。
下面是代码命令

[firework]nat address-group 1
[firework-address-group-1]section 0 100.1.1.4 100.1.1.5
[firework]quit
[firework]nat-policy
[firework-policy-nat]rule name to_server
[firework-policy-nat-rule-to_server]source-zone trust
[firework-policy-nat-rule-to_server]destination-zone trust
[firework-policy-nat-rule-to_server]action source-nat address-group 1

在这里插入图片描述
结果显示可以ping通。

在防火墙上面G1/0/0抓包
在这里插入图片描述
发出去时:192.168.1.2->100.1.1.2 100.1.1.5->192.168.1.3
回应时:192.168.1.3->100.1.1.5 100.1.1.2->192.168.1.2
结果显示没问题

感谢各位观看!!!

南塘九曲
关注
安全防御(二)--- 防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
weixin_58299245的博客
09-13 5268
防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 3929
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT域内双向NAT
华为防火墙双向NAT实验
最新发布
Qiq922的博客
06-27 1096
但由于防火墙上做了nat server,会将202.96.208.102转换成192.168.1.2,防火墙处理包的流程是先nat server,然后找路由,根据目的192.168.1.2,会将该报文(源192.168.1.1,目的192.168.1.2)直接从自己的内网口转发出去,转发给了Server2(192.168.1.2),Server2看到源是192.168.1.1,就直接通过2层局域网回应了Client2,所以在上图中能看到192.168.1.2回应192.168.1.1的SYN,ACK报文。
域内双向NAT技术
奋斗Zalvin_JE(奋斗Zhy)的个人博客
07-09 4159
域内双向NAT 实验目的 企业内部有需要想要将内网的HTTP Server中WEB服务映射到公网地址10.1.12.100的80端口上,一般该需求只需要我们部署NAT Server,就可以使得其他网络内的客户端通过公网地址10.1.12.100访问内网HTTP 服务器的目的。 此时如果我们内网客户端也想要通过该公网地址去访问HTTP Server,那么会出现错误导致无法访问。将HTTP Server的私网地址直接透露出来,也不利于保障WEB服务器的安全性。 本实验通过部署域内双向NAT,使得内网地址能够通过
域内双向NAT技术
2302_79794013的博客
04-23 896
双向nat实验
防火墙双向NAT
坏坏-5的博客
10-23 2817
本篇是防火墙双向NAT的简单配置!
NAT、server nat域内双向NAT、域间双向NAT,以及双机热备实验,练习IPS配置实验。
xiaooxiangg的博客
03-21 1030
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrust 到dmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
防火墙--NAT技术,基于源NATNAT服务器,双向NAT
weixin_74749868的博客
09-16 1799
Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号不同,同样不会生成server-map表。双向NAT是源NATNAT server的组合,并不是说同时配置了源NATNAT server。一个私网地址转换了一个公网地址,而另外两个转换了一个公网地址(预留地址)
华为防火双向NAT
不定期分享一些自己的学习笔记
10-16 3191
华为防火双向NAT
双向NAT应用场景和配置
Richardlygo的博客
08-28 2796
局域网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要域内双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局域网(地址重叠的情况),其中一个局域网中的客户端需要访问另外一个局域网中的服务器时,例如双方局域网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
华赛USG 域内NAT
weixin_33782386的博客
07-26 270
配置双向NAT举例(域内NAT和内部服务器) 组网需求 如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区域,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。需求如下: FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。 ...
配置域内NAT举例
03-06
配置域内NAT举例,让你一看就会的配置实例
047-华为防火墙-域内NAT
君临天下的博客
07-17 744
将内网PC主机访问内网服务器的时候,把源地址转换为防火墙的接口IP(或者地址池),这样服务器接收到数据报文就会返回给防火墙处理,从而实现源目地址一致。步骤3:这一步服务器查询路由表后,数据包不会发送至防火墙,而是发送至PC,PC无法识别该会话,因此会丢弃该数据包,造成访问不通。场景:创建了服务器映射并开放了安全策略,但是在测试业务的时候出现外网访问公网地址正常,但是内网访问公网地址却不通。图一:服务器映射后,外网访问路径:1-2-3-4,可实现正常访问。图二:服务器映射后,内网访问外网地址,访问异常。
防火墙NAT
2302_77035737的博客
01-27 1481
-- 基于源IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。--- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器。--- 同时转换源IP和目标IP地址。
双向NAT(基于USG6000V)
YancyYue颜悦的专栏
07-01 2429
域内NAT+NAT Server、域间NAT+NAT Server
防火墙实验二——实现域间、域内双向NAT、双机热备实验
lml_0916的博客
09-12 1379
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置。
华为防火墙双向NAT
qq_47529104的博客
03-20 4737
案例1 如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问服务器的流量是健康的,所以我们希望将主机1的流量进行引流至防火墙,借助防火墙来实现流量的阻拦和检查。 实现 我们将内网的服务器的IP地址借助nat server隐藏起来,虽然主机1和主机2之间已经处在内网,但是我们同样可以向其他主机宣告,服务器的IP地址是nat server后的IP地
网络——域内双向NAT技术
Jay
04-18 1644
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
防火墙域间双向NAT域内双向NAT与双机热备实验
m0_68498873的博客
08-08 1545
USG6000V1-GigabitEthernet1/0/1]service-manage all permit 保存主防火墙配置。
双向nat
05-20
### 双向NAT的配置与实现 #### 路由器或防火墙的基础配置 为了实现双向NAT,路由器或防火墙设备需要能够同时支持源地址转换(Source NAT, SNAT)和目标地址映射(Destination NAT, DNAT)。这种功能通常通过以下步骤来完成: 1. **定义内部网络和外部网络接口** 在路由器或防火墙上,需明确指定哪些接口属于内部网络(`ip nat inside`),以及哪些接口属于外部网络(`ip nat outside`)。这是区分流量方向并应用相应NAT规则的前提条件[^1]。 2. **配置源NAT (SNAT)** 源NAT用于修改来自内部网络的数据包的源IP地址。当内部主机访问互联网时,其私有IP地址会被替换为公共IP地址。以下是基于Cisco IOS的一个简单示例配置: ```cisco-ios access-list 10 permit 192.168.1.0 0.0.0.255 ip nat pool MY_POOL 203.0.113.1 203.0.113.1 netmask 255.255.255.248 ip nat inside source list 10 pool MY_POOL overload ``` 上述命令的作用是创建一个名为MY_POOL的NAT池,并将其分配给ACL编号10所匹配的内部网络流量。此过程实现了从私网到公网的源地址转换。 3. **配置NAT Server (DNAT)** 目标NAT主要用于将进入外部网络的目标IP地址重定向至内部网络中的某台服务器。例如,如果希望外部用户可以通过某个公网IP访问内部Web服务器,则可以这样配置: ```cisco-ios ip nat inside source static tcp 192.168.1.100 80 interface GigabitEthernet0/1 80 ``` 此处表示将GigabitEthernet0/1接口上的端口80请求转发到内部IP `192.168.1.100` 的HTTP服务上。 #### 处理特殊协议的支持 需要注意的是,在某些复杂场景下,仅依赖基本的NAT机制可能不足以满足需求。比如FTP、DNS等多通道协议会在数据载荷中携带额外的IP地址或端口号信息,而标准NAT不会自动更新这些字段的内容。因此,针对这类情况还需要启用相应的ALG(Application Layer Gateway)或者手动调整策略以确保兼容性[^2]。 --- ### 示例代码展示 下面给出一段Python脚本模拟简单的NAT表管理逻辑,虽然实际生产环境下的操作应完全遵循硬件厂商指南执行,但该片段有助于理解原理层面的知识点。 ```python class NatTable: def __init__(self): self.table = {} def add_snat(self, private_ip, public_ip): """Add Source NAT entry.""" self.table[private_ip] = {'type': 'snat', 'public_ip': public_ip} def add_dnat(self, external_ip, internal_ip): """Add Destination NAT entry.""" self.table[external_ip] = {'type': 'dnat', 'internal_ip': internal_ip} # Example usage of the class if __name__ == "__main__": nat_manager = NatTable() nat_manager.add_snat('192.168.1.10', '203.0.113.1') nat_manager.add_dnat('203.0.113.1', '192.168.1.10') print(nat_manager.table) ``` 以上程序展示了如何构建一个简易版的NAT映射关系数据库模型。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值