1.创建NAT策略绑定地址组
#使用场景:比如P2P场景,任何内部需要访问外部主机,外部主机需要通过固定端口访问内部某个主机。
nat address-group ag11 2
mode full-cone global
route enable
section 0 120.1.1.101 120.1.1.104
2.创建NAT策略绑定地址组
nat-policy
rule name 192_168_1_0_nat
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action source-nat address-group ag11
3.内网客户端访问公网服务http服务
4.防火墙查看会话表和server-map表
display firewall session table all
http VPN: public --> public 192.168.1.4:2051[120.1.1.101:6144] --> 80.1.1.1:80
display firewall server-map
Type: FullCone Dst, ANY -> 120.1.1.101:6144[192.168.1.4:2051], Zone: ---
Protocol: tcp(Appro: ---), TTL: 60, Left-Time: 56, Pool: 2, Section: 0
Vpn: public -> public, Hotversion: 1
Type: FullCone Src, 192.168.1.4:2051[120.1.1.101:6144] -> ANY, Zone: ---
Protocol: tcp(Appro: ---), TTL: 60, Left-Time: 56, Pool: 2, Section: 0
Vpn: public -> public, Hotversion: 1
5.外网客户端访问公防火墙转换公网地址和端口
6.抓包查看,公网客户机访问内网客户机
7.三元组NAT
#默认情况下,防火墙在进行进行三元组 NAT转换时, 转换后IP和端口是不固定的。
原因: 防火墙默认情况下,哈希方式 source 地址 + 目的地址 , 该情况下每次进行NAT转换- 端口无法固定。
如果需要每次转换后的端口固定的,那么需要切换哈希方式位 source 地址 only
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容