华为防火墙nat技术之服务器映射
如下图所示:配置服务器一对一映射:互联网的另一个单位想访问公司的服务器但是没有连接到内网,这里服务器的地址ishi私网地址,需要对防火墙进行nat serve把192.168.1.1映射到202.10.1.1,这个时候外网用户直接访问202.10.1.1就可以访问了。下面配置,首先将服务器和客户端配置一个IP地址服务器:客户端:下面我们配置防火墙:首先初始化防火墙:用户名为:admin密码为:Ad
如下图所示:
配置服务器一对一映射:
互联网的另一个单位想访问公司的服务器但是没有连接到内网,这里服务器的地址ishi私网地址,需要对防火墙进行nat serve把192.168.1.1映射到202.10.1.1,这个时候外网用户直接访问202.10.1.1就可以访问了。
下面配置,首先将服务器和客户端配置一个IP地址
服务器:
客户端:
下面我们配置防火墙:
首先初始化防火墙:
用户名为:admin
密码为:Admin@123
在系统视图下进行配置
进入防火墙接口1/0/0,并配置IP地址
进入防火墙接口1/0/1,并配置IP地址
配置一条默认静态路由到路由器的下一跳
下面将接口加入到安全域:将接口G1/0/1加入到untrust区域
将G1/0/0加入到dmz服务器区域
下面我们配置,路由器
给接口配置IP地址
可以看到G0/0/0和G0/0/1IP地址
做一条到防火墙区域的默认路由
下面放通策略,为默认全部放通
设置一对一映射配置:这样就映射成功了
把原服务器的IP地址转为外网的202.10.1.1地址来进行
将服务器开启:
这里面我们使用客户端测试一下:通了,一对一映射就是这么简单
我们查看一下会话信息:可以看到外网的客户端访问防火墙的外网口时,他会自动转换为内网的服务器地址
刚才我们在防火墙上做了一个默认全部放通的策略,我们把这一条修改一下,改成详细的操作
我们进入策略,删除发刚才默认的那条:执行default action deny,他就会删除这条默认的策略了
下面我们配置两个策略:
首先第第一个策略就是untrust到dmz(外网到服务器)
创建一个名为外网访问dmz区域的名称
原区域就是外网口,也就是untrust
目标区域就是要到达的区域,也就是服务器区域
因为原区域很多所以不需要设置IP地址,这里将目标地址是唯一的设置一下就可以了
因为服务器地址是唯一的固定的,所以这里使用固定的地址,掩码为32位
然后放通需要的服务:这里放通http、ftp服务,然后放通策略就可以了
这一条策略就放通了
因为现在只有外部访问服务器的,但是服务器不能给他返回信息,所以这里需要设置服务器到外网的策略
创建策略名称:
这里面源区域就是服务器区域dmz
目标区域就是untrust
我们设置一下源地址,也就是服务器地址:
下面我们放通策略:
这样的话就完成了
测试:可以看到是通的
第一个策略是untrust到服务器的流量放行,放行的协议http、ftp,这里面尽量针对,现实需求,对外提供什么样的服务,安全策略就方形对应的端口号即可,不建议默认全部放行,一对一映射会把所有的端口号都映射给服务器,这样很容易被收到安全攻击,
第二个策略是服务器到外网的,这是让服务器能够正常访问外网的流量
看一下会话,这里面我们可以看到第一个是untrust到dmz的流量,第二个是dmz到untrust的流量
上面是服务器的一对一映射,下面我们操作一下服务器端口映射
下面操作
上面一对一操作是这样的:他是基于IP地址的
下面我们创建基于端口的:
这里我们将服务器的192.168.1.1的80端口映射为外网的202.10.1.1的7446端口
下面我们测试
这里我们输入202.10.1.1:7446,可以看到访问成功了
看一下会画:
这里可以看到,外网访问服务器202.10.1.1:7446是实则是访问夫妻的192.168.1.1的80端口 并且规范了协议,是TCP协议
一对一映射和端口映射在什么时候使用
如果公网IP只用一个,能使用端口尽量使用端口映射
一对一映射比较适合在映射端口号非常多的,而且公网IP有多个的情况下
更多推荐
所有评论(0)