3.9 防火墙目的NAT-动态目的NAT-大赛人网

1.防火墙目的NAT-动态目的NAT

1）创建私有网络地址组
destination-nat address-group ag21 
 section 192.168.1.201 192.168.1.202

2）创建NAT	策略
rule name policy-dnat01
  source-zone untrust
  destination-address range 12.1.1.201 12.1.1.202
  action destination-nat address-group ag21

3）公网客户机访问公网地址（12.1.1.201和的12.1.1.202），查看会话表
display firewall session table all  
http  VPN: public --> public  200.1.1.1:2063 --> 12.1.1.202:80[192.168.1.201:80]
 http  VPN: public --> public  200.1.1.1:2062 --> 12.1.1.201:80[192.168.1.202:80]

2.防火墙目的NAT-动态目的NAT黑洞

1）FW1创建NAT策略
rule name policy-dnat01
  source-zone untrust
  destination-address range 100.1.1.201 100.1.1.201
  service protocol tcp destination-port 8080
  action destination-nat static port-to-port address 192.168.1.201 80

2）R2配置静态路由
ip route-static 100.1.1.201 32 GigabitEthernet 0/0/1 12.1.1.1

3）公网客户机访问公网地址（100.1.1.201的8080端口）

4）FW1查看会话表
display firewall session table all
 http  VPN: public --> public  200.1.1.1:2070 --> 100.1.1.201:8080[192.168.1.201:80]

5）公网客户机ping公网地址（100.1.1.201，失败）抓包，产生环路

6）FW1配置解决环路问题，配置黑洞路由
ip route-static 100.1.1.201 32 NULL 0

3.防火墙目的NAT-NAT Server

 1）特殊配置方法的目的NAT，  不是通过NAT-policy实现目的NAT功能 ， 通过直接创建NAT-server规则，通过NAT -server规则生成server-map表（3元素表）。数据进入防火墙后通过观察是否匹配server-map决定是否进行地址转换。
  如果可以匹配到server-map ，则可以进行session-table（5元素表）创建 。

（1）配置NAT server
nat server web01 global 12.1.1.201 inside 192.168.1.201

（2）FW1查看server-map表
display firewall server-map
Type: Nat Server,  ANY -> 12.1.1.201[192.168.1.201],  Zone:---,  protocol:---
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.201[12.1.1.201] -> ANY,  Zone:---,  protocol:---
 Vpn: public -> public,  counter: 1

（3）公网客户机访问公网地址

（4）FW1查看会话表
display firewall session table all 
http  VPN: public --> public  200.1.1.1:2071 --> 12.1.1.201:80[192.168.1.201:80]

（5）FW1配置安全策略（内到外）
security-policy
rule name t_2_un
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0

（6）私网服务器访问公网客户机

2）server对外提供服务，但不需要服务器主动对外发起访问（不生成反向server-map表）
nat server web01 global 12.1.1.201 inside 192.168.1.201 no-reverse

#FW1查看server-map
display firewall server-map 
 Type: Nat Server,  ANY -> 12.1.1.201[192.168.1.201],  Zone:---,  protocol:---
 Vpn: public -> public

3）配置NAT server生成黑洞路由
nat server web01 global 100.1.1.201 inside 192.168.1.201 no-reverse unr-route

#查看路由表
display ip routing-table 
 100.1.1.201/32  Unr     61   0           D   127.0.0.1       InLoopBack0

4）配置区域NAT server
nat server web01 zone untrust global 100.1.1.201 inside 192.168.1.201 no-reverse unr-route

#查看server-map表
display firewall server-map
Type: Nat Server,  ANY -> 100.1.1.201[192.168.1.201],  Zone: untrust ,  protocol:---
 Vpn: public -> public

5）NAT server1对1端口转换
nat server web01 zone untrust protocol tcp global 12.1.1.201 8080 inside 192.168.1.201 80  no-reverse unr-route

#查看server-map表
display  firewall server-map
 Type: Nat Server,  ANY -> 12.1.1.201:8080[192.168.1.201:80],  Zone: untrust ,  protocol:tcp
 Vpn: public -> public

6）NAT server多对多地址转换
nat server web01 zone untrust global 12.1.1.201 12.1.1.202 inside 192.168.1.201 192.168.1.202 no-reverse unr-route 

#查看server-map表
display firewall server-map
 Type: Nat Server,  ANY -> 12.1.1.202[192.168.1.202],  Zone: untrust ,  protocol:---
 Vpn: public -> public

 Type: Nat Server,  ANY -> 12.1.1.201[192.168.1.201],  Zone: untrust ,  protocol:---
 Vpn: public -> public

7）NAT server多对多地址和端口转换
nat server web01 zone untrust protocol tcp global 12.1.1.201 12.1.1.202 8080 inside 192.168.1.201 192.168.1.202 80 no-reverse unr-route 

#查看server-map表
display firewall server-map 
Type: Nat Server,  ANY -> 12.1.1.201:8080[192.168.1.201:80],  Zone: untrust ,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server,  ANY -> 12.1.1.202:8080[192.168.1.202:80],  Zone: untrust ,  protocol:tcp
 Vpn: public -> public

文章版权归作者所有，未经允许请勿转载。

THE END

网络安全