3.6 防火墙源NAT-三元组NAT

1.创建NAT策略绑定地址组

#使用场景:比如P2P场景,任何内部需要访问外部主机,外部主机需要通过固定端口访问内部某个主机。
nat address-group ag11 2
 mode full-cone global
 route enable
 section 0 120.1.1.101 120.1.1.104

2.创建NAT策略绑定地址组

nat-policy
 rule name 192_168_1_0_nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group ag11

3.内网客户端访问公网服务http服务

图片[1]-3.6 防火墙源NAT-三元组NAT-大赛人网

4.防火墙查看会话表和server-map表

display firewall session table all
 http  VPN: public --> public  192.168.1.4:2051[120.1.1.101:6144] --> 80.1.1.1:80

display firewall server-map
 Type: FullCone Dst,  ANY -> 120.1.1.101:6144[192.168.1.4:2051],  Zone: ---
 Protocol: tcp(Appro: ---),  TTL: 60,  Left-Time: 56,  Pool: 2, Section: 0
 Vpn: public -> public,  Hotversion: 1

 Type: FullCone Src,  192.168.1.4:2051[120.1.1.101:6144] -> ANY,  Zone: ---
 Protocol: tcp(Appro: ---),  TTL: 60,  Left-Time: 56,  Pool: 2, Section: 0
 Vpn: public -> public,  Hotversion: 1

5.外网客户端访问公防火墙转换公网地址和端口

图片[2]-3.6 防火墙源NAT-三元组NAT-大赛人网

6.抓包查看,公网客户机访问内网客户机

图片[3]-3.6 防火墙源NAT-三元组NAT-大赛人网
图片[4]-3.6 防火墙源NAT-三元组NAT-大赛人网

7.三元组NAT

#默认情况下,防火墙在进行进行三元组 NAT转换时, 转换后IP和端口是不固定的。
 原因: 防火墙默认情况下,哈希方式  source 地址  + 目的地址 , 该情况下每次进行NAT转换- 端口无法固定。
 如果需要每次转换后的端口固定的,那么需要切换哈希方式位 source 地址  only
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容