当前位置:网站首页>华为防火墙-5-NAT
华为防火墙-5-NAT
2022-08-11 05:33:00 【macob】
1 源NAT 基本原理
源NAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址
多条NAT策略之间存在匹配顺序,如果报文命中了某一条NAT策略,就会按照该NAT 策略中引用的地址池来进行地址转换;如果报文没有命中某条 NAT 策略,则会向下继续查找
NAT No-PAT方式也会生成Server-map表,而且生成了正向和反向两条表项。
[FW] display firewall server-map
napt配置
[USG6000V1]nat address-group ag1
nat address-group ag1 0
mode pat
section 0 1.2.3.5 1.2.3.10
exclude-ip 1.2.3.6
[USG6000V1]nat-policy
rule name 10out
description 10,20网段napt
source-zone trust
source-address 10.10.0.0 mask 255.255.255.0
source-address 10.20.0.0 mask 255.255.255.0
action source-nat address-group ag1
安全策略
rule name tr1
source-address 10.10.0.0 mask 255.255.255.0
source-address 10.20.0.0 mask 255.255.255.0
action permit
配置黑洞路由
ip route-static 1.2.3.5 32 NULL 0
ip route-static 1.2.3.7 32 NULL 0
ip route-static 1.2.3.8 32 NULL 0
ip route-static 1.2.3.9 32 NULL 0
ip route-static 1.2.3.10 32 NULL 0
Easy-IP方式无需配置NAT地址池,也不用配置黑洞路由,只需在NAT策略中指定出接口即可
easy IP配置
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name 10out
rule name 10out
source-zone trust
source-address 10.10.0.0 mask 255.255.255.0
source-address 10.20.0.0 mask 255.255.255.0
action source-nat easy-ip
2022-07 实际配置:
rule name srcNat
egress-interface GigabitEthernet0/0/8
action source-nat easy-ip
display firewall session table
display firewall session table verbose
display firewall session table source inside 10.10.0.2
display nat address-group name ag1
display nat-policy rule all
display nat-policy rule name 10out
和NAPT一样,Easy-IP方式也不会生成Server-map表。
2 NAT Server
1)将服务器的私网地址10.1.1.2映射成公网地址1.1.1.1
[FW] nat server global 1.1.1.1 inside 10.1.1.2
按照上述配置会将服务器上所有服务项都发布到公网
[USG6000V1]nat server protocol tcp global 1.2.3.6 23 inside 172.16.0.254 23
undo nat server name 0 默认名称0
display nat server
NAT Server配置完成之后,也会生成Server-map表。不过与源NAT生成的Server-map表不同的是,NAT Server 的Server-map 表是静态的,不需要报文来触发,配置了NAT Server后就会自动生成,只有当NAT Server 配置被删除时,对应的Server-map 表项才会被删
[FW] display firewall server-map
2)配置安全策略:
rule name dmz
destination-zone dmz
destination-address 172.16.0.254 mask 255.255.255.255
service telnet
action permit
3)配置黑洞路由
为了避免路由环路,NAT Server 也需要配置黑洞路由。
[FW] ip route-static 1.2.3.6 32 NULL 0
边栏推荐
- Threatless Technology-TVD Daily Vulnerability Intelligence-2022-8-5
- web网络安全笔记
- SSH服务详解
- SECURITY DAY01 (Monitoring Overview, Zabbix Basics, Zabbix Monitoring Services)
- slurm cluster construction
- Numpy_备注
- SECURITY DAY05(Kali系统 、 扫描与抓包 、 SSH基本防护、服务安全 )
- Threatless Technology-TVD Daily Vulnerability Intelligence-2022-7-18
- Raspberry Pi set static IP address
- China Mobile Communications Group Co., Ltd.: Business Power of Attorney
猜你喜欢
Vulnhub靶机--DC8
CLUSTER DAY01 (Introduction to cluster and LVS, LVS-NAT cluster, LVS-DR cluster)
Apache Fink 文件上传漏洞复现及利用
(三)软件测试理论(了解软件的缺陷知识)
ETCD集群故障应急恢复-从snapshot恢复
lvm 多盘挂载,合并使用
内存调试工具Electric Fence
CLUSTER DAY03( Ceph概述 、 部署Ceph集群 、 Ceph块存储)
FusionCompute8.0.0 实验(2)虚拟机创建
MoreFileRename batch file renaming tool
随机推荐
TCP 三次握手、四次断开
arcmap下的多进程脚本
使用路由器DDNS功能+动态公网IP实现外网访问(花生壳)
MySQl进阶之索引结构
web网络安全笔记
No threat of science and technology - TVD vulnerability information daily - 2022-8-4
Es常用操作和经典case整理
CLUSTER DAY02( Keepalived热备 、 Keepalived+LVS 、 HAProxy服务器 )
CLUSTER DAY03 (Ceph overview, the deployment of Ceph CLUSTER, Ceph block storage)
Jmeter RMI 反序列化命令执行漏洞复现
window7开启远程桌面功能
无胁科技-TVD每日漏洞情报-2022-8-4
CLUSTER DAY01 (Introduction to cluster and LVS, LVS-NAT cluster, LVS-DR cluster)
Apache APISIX 默认密钥漏洞复现
训练分类器
文本三剑客——sed 修改、替换
Apache Flink jobmanager/logs 目录穿越漏洞复现
HPC platform building
查看CPU和其他硬件温度的软件
无胁科技-TVD每日漏洞情报-2022-7-19