精华内容
下载资源
问答
  • 防火墙做NAT的问题(已解决)
    2020-12-21 13:07:51

    一台Linux机器用iptables做防火墙,在其上做NAT以使外网可以访问内网web服务器,web服务器系统是redhat9

    NAT做好后,通过外网访问,但是仍然不能访问,在web服务器上用tcpdump进行抓包,如下:

    09:04:59.197945 218.108.10.18.1898 > 172.18.88.57.http: S 4283620706:4283620706(0) win 65535 (DF)

    09:05:02.209721 218.108.10.18.1898 > 172.18.88.57.http: S 4283620706:4283620706(0) win 65535 (DF)

    09:05:08.223887 218.108.10.18.1898 > 172.18.88.57.http: S 4283620706:4283620706(0) win 65535 (DF)

    09:05:20.229363 218.108.10.18.2094 > 172.18.88.57.http: S 3198722777:3198722777(0) win 65535 (DF)

    09:05:23.202336 218.108.10.18.2094 > 172.18.88.57.http: S 3198722777:3198722777(0) win 65535 (DF)

    通过分析感觉是NAT已经做成功了,目的地址经转换为web服务器的地址,经地址转换的报文也发到web服务器上了,但是web服务器却没有响应

    在内网直接访问该web服务器都是正常的,抓包如下:

    09:05:37.897302 172.18.88.45.1158 > 172.18.88.57.http: S 2098025050:2098025050(0) win 65535 (DF)

    09:05:37.897462 172.18.88.57.http > 172.18.88.45.1158: S 1276113486:1276113486(0) ack 2098025051 win 5840 (DF)

    09:05:37.897573 172.18.88.45.1158 > 172.18.88.57.http: . ack 1 win 65535 (DF)

    09:05:37.909370 172.18.88.45.1158 > 172.18.88.57.http: P 1:312(311) ack 1 win 65535 (DF)

    09:05:37.909806 172.18.88.57.http > 172.18.88.45.1158: . ack 312 win 6432 (DF)

    09:05:38.127255 172.18.88.57.http > 172.18.88.45.1158: . 1:1461(1460) ack 312 win 6432 (DF)

    09:05:38.127420 172.18.88.57.http > 172.18.88.45.1158: . 1461:2921(1460) ack 312 win 6432 (DF)

    09:05:38.127495 172.18.88.45.1158 > 172.18.88.57.http: . ack 2921 win 65535 (DF)09:05:38.127570 172.18.88.57.http > 172.18.88.45.1158: P 2921:3415(494) ack 312

    win 6432 (DF)

    将服务器80端口换成10000,也是如上进行测试,效果一样。

    不知问题出在哪里,还望高手指点下。

    另外,在作为防火墙的机器上,做NAT的语句为:

    iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to-destination 172.18.88.57:80

    作者: zhsishi

    发布时间: 2009-06-04

    更多相关内容
  • 山石防火墙目的NAT配置举例
  • 防火墙nat转换配置

    2011-06-08 21:35:04
    防火墙nat转换配置,主要用于基本配置信息!
  • 五、防火墙NAT转换

    千次阅读 2021-05-05 08:55:52
    NAT是将数据报文头中的一种地址转换成另一种ip地址的过程,主要是使用在内网地址访问公网地址,每一个NAT的设备都会有一个地址转换表,通过这个地址转换表可以实现地址转换。地址转换分为以下两种 内网网络主机IP...

    网络地址转换原理

    NAT技术的基本原理

    在这里插入图片描述
    NAT是将数据报文头中的一种地址转换成另一种ip地址的过程,主要是使用在内网地址访问公网地址,每一个NAT的设备都会有一个地址转换表,通过这个地址转换表可以实现地址转换。地址转换分为以下两种

    内网网络主机IP地址和端口映射陈外网ip地址和端口
    外网网络IP地址和端口映射成内网主机IP地址和端口
    

    通常使用在内网和外网网络的交会地,常见设备有路由器、防火墙

    NAT分类

    NAT可以分为以下三类
    静态映射:公网地址和私网地址一对一进行映射,用于公网用户访问私网内部服务器的场景。
    动态映射:多个私网地址对应一个公网ip地址池,适合大量的私网用户访问Internet的场景
    端口多路复用:将不同的私网地址映射同一个ip地址不同端口上。
    根本思想:源ip转换,目的ip转换。转换时是否携带转换端口。

    NAT实现

    Basic NAT和NAPT是私网IP地址通过NAT设备转换成公网IP地址的过程,分别实现一对一和多对一的地址转换功能。在现网环境下,NAT功能的实现还得依据Basic NAT和NAPT的原理,NAT实现主要包括:静态NAT/NAPTEasy IP地址池NATNAT Server双向NatNat Alg

    源NAT技术

    不带端口转换方式(静态NAT:1对1)

    在这里插入图片描述

    带端口转换方式(NAPT:1对1)

    在这里插入图片描述

    Easy IP(1对1带端口)

    在这里插入图片描述

    地址池转换(1对多)

    在这里插入图片描述

    目的Nat(服务器映射)

    NAT Server - 内部服务器

    在这里插入图片描述

    NAT Server,即内部服务器。使用NAT可以灵活地添加内部服务器。例如:可以使用202.202.1.1等公网地址作为Web服务器的外部地址,甚至还可以使用202.202.1.1 :8080这样的IP地址加端口号的方式作为Web的外部地址

    NAT ALG

    在这里插入图片描述
    常见NAT转换的缺点
    普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换。

    解决常见NAT转换缺陷方式
    NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

    例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
    为了实现应用层协议的转发策略而提出了ASPF功能。
    ASPF:开放相应的包过滤规则。
    NAT:进行地址转换。
    由于两者通常都是结合使用的,所以使用同一条命令就可以将两者同时开启。

    NAT ALG实现原理

    在这里插入图片描述
    图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.1.2到公网地址8.8.8.11的映射,实现地址的NAT转换,以支持私网主机对公网的访问。组网中,若没有ALG对报文载荷的处理,私网主机发送的PORT报文到达服务器端后,服务器无法根据私网地址进行寻址,也就无法建立正确的数据连接。整个通信过程包括如下四个阶段:

    1、私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。
    2、控制连接建立后,私网主机向FTP服务器发送PORT报文,报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接。
    3、PORT报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11,端口1084转换成12487。

    4、公网的FTP服务器收到PORT报文后,解析其内容,并向私网主机发起数据连接,该数据连接的目的地址为8.8.8.11,目的端口为12487(注意:一般情况下,该报文源端口为20,但由于FTP协议没有严格规定,有的服务器发出的数据连接源端口为大于1024的随机端口,如本例采用的是wftpd服务器,采用的源端口为3004)。由于该目的地址是一个公网地址,因此后续的数据连接就能够成功建立,从而实现私网主机对公网服务器的访问。

    NAT Server与Server Map表

    在这里插入图片描述
    通常情况下,如果在设备上配置严格包过滤,那么设备将只允许内网用户单方向主动访问外网。但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设备上配置的包过滤为允许单方向上报文主动通过,则FTP文件传输不能成功。

    为了解决这一类问题,USG设备引入了Server-map表,Server-map基于三元组,用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。

    1、生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,而不需要去查会话表,这样就保证了某些特殊应用的正常转发。
    2、配置NAT Server成功后,设备会自动生成Server-map表项,用于存放Global地址与Inside地址的映射关系。
    3、当不配置"no-reverse"参数时,每个生效的NAT Server都会生成正反方向两个静态的Server-map;当配置了"no-reverse"参数时,生效的NAT Server只会生成正方向静态的Server-map。用户删除NAT Server时,Server-map也同步被删除。
    4、PAT是接口地址转换。NO-PAT 是不做端口转换,只作IP地址转换,也就是BASIC NAT 。而如果是NAPT的话,NO-PAT是不配置的。建议不要配置NO-PAT,不然同一个进程只能使用一个IP地址

    双向NAT技术

    双向NAT两种应用场景:
    1、NAT Server + 源NAT:服务器不设施网关或到达防火墙的路由
    2、域内NAT:同一数据流,同时转换源地址和目的地址。

    域间双向NAT

    在这里插入图片描述
    转换方式: 私网1转私网2,私网2转公网。

    域内双向NAT

    在这里插入图片描述
    转换方式
    防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。

    客户端请求时:S: 192.168.1.5    D:202.202.1.1    到达防火墙转换   S:202.202.1.5    D:192.168.1.1
    

    防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。

    服务端响应:  S:192.168.1.1    D:202.202.1.5   到达防火墙转换    S:202.202.1.1   
    D:192.168.1.5
    

    实现效果:隐藏彼此之间的ip地址

    总结:

    在这里插入图片描述
    文章
    官方文档

    展开全文
  • 华为防火墙NAT转换

    千次阅读 2019-07-18 10:44:32
    化为防火墙NAT转换 拓扑如 下 实现使用Easy-IP访问外网 Nat-server外网访问内部服务器ftp服务 1. 配置图中各借口和主机ip掩码都为24 2. 分区域 左边trust 右边untrust 3. 配置安全策略 4. 配置nat策略 nat-policy ...

    化为防火墙NAT转换

    拓扑如 下

    在这里插入图片描述
    实现使用Easy-IP访问外网
    Nat-server外网访问内部服务器ftp服务

    1. 配置图中各借口和主机ip掩码都为24
    2. 分区域

    左边trust 右边untrust
    3. 配置安全策略
    4. 配置nat策略

    nat-policy 编辑策略
    rule name 111 名字
    source-address 192.168.1.0 24
    source-zone trust 配置源区域
    destination-zone untrust 配置目的区域

    在这里插入图片描述
    action nat easy-ip

    在这里插入图片描述
    *这里使用的转换方式不用做黑洞路由
    如果转换后的公网地址和外网接口不在一个网段要做。
    注意这个转换方式路由器不要做路由
    那样就会造成使用内网地址出去

    路由器做默认路由找外网路由器接口
    ip route-static 0.0.0.0 0.0.0.0 202.96.1.2
    5. 使用内网主机ping 外网主机
    发现不通,查看display cu
    发现安全策略没有 action permit*
    在这里插入图片描述
    改回来即可
    已经可以通信

    在这里插入图片描述
    防火墙查看会画表(缓存特别快,要再次通信,然后赶紧查看)
    display firewall session table

    在这里插入图片描述

    (借)接打错了

    6.配置NAT server
    7.首先也是安全策略,名字一定不能和上面一样

    在这里插入图片描述
    少打了一条命令
    service ftp 这部很重要
    8.配置ftp应用层检 测(默认已经开启)

    在这里插入图片描述
    9.配置nat server
    在这里插入图片描述
    nat server nat protocol tcp global 202.96.1.100 21 inside 192.168.1.1
    1 21
    查看server-map表命令是
    display firewall server-map

    10.配置ftp
    在这里插入图片描述
    根目录随意写就行
    11.验证ftp
    外网客户端访问
    在这里插入图片描述

    内网再试一下能不能访问外网 我这里可以 实验完毕! 另外黑洞路由命令如下
    Iip route-static nat 地址组地址 32 NULL 0
    如果地址组中地址是多个 每个的要打一次

    展开全文
  • 如下拓扑图: 首先,我们设置云如下,让他与本机互通 我们开始配置 首先初始化防火墙:第一次登录的时候会让你修改密码,默认的账号为admin密码:Admin@123 ...下面配置内网接口,接口...

    如下拓扑图:

    首先,我们设置云如下,让他与本机互通

    我们开始配置

    首先初始化防火墙:第一次登录的时候会让你修改密码,默认的账号为admin密码:Admin@123

    输入账号密码后选择Y然后修改密码

    设置好后,进入系统视图,配置外网接口为dhcp获取,首先在系统视图下开启dhcp:

    然后进入接口,配置IP地址为自动获取

     推出接口视图,display ip interface brief查看是否获取到地址了,这里可以看到1/0/0获取了80网段的地址

     下面配置内网接口,在接口1下面我们配置了10网段的地址,网关为10.254,可分配的地址范围2-250,防火墙跟路由器的区别就是需要手动创建可分配的地址和默认网关,然后开启这个接口的所有服务 

    在接口下输入输入:

     查看开启的服务,这里可以看到开启了6个服务,也可以单独开启任意服务,根据自身情况进行调节

     接口二也跟接口一一样配置,配置完成如下

     下面我们给接口划分安全区域:

    外网口加入untrust

    在系统试图下输入:

    然后将接口添加进去

    查看,可以看到外网口的接口已经划分到untrust里面了

     

     因为防火墙为两个网段,分开了,多以我们自定义创建两个安全区域office1和office2

    在系统视图下输入:这里就创建了一个安全区域office1

     创建好后要先给他创建安全级别:级别为86

     然后将接口加入到这个office1里面

    查看,可以看到这个区域里面有了接口1的

     

     接口二同理:

    创建安全名office2,安全级别:84、然后将1/0/2接口加入进去,到这里安全区域

    已经完成了 

     下面我们配置安全策略:

    office1和office2想上网就必须通过untrust区域,这里我们创建安全规则让office1和office2通过untrust区

    在系统视图下输入:进入策略模式

     在策略下创建一个策略名称:

    这里创建了一个名为office1到untrust区域的名称 

    下面创建策略,源地址、目标地址

    这里面源区域为office1

     目标区域为untrust

    然后添加源地址:

    源地址内可以添加整个网段

     下面我们允许:这里,office1到untrust就创建完成了

    查看配置好的:

     office到untrust同理:

    创建一个office2到untrust的名称,添加源区域为office2,目的区域为untrust,添加源地址为office2的网段或者地址,然后允许通过

     创建完成后我们在创建一个local到所有区域的安全规则,跟上面一样

    创建一个local到any的名字,源区域为local目的区域为any然后放通

     下面我们测试一下

    现在pc机自动获取IP地址是正常的

    pc1

     pc3

     可以看到两个网段的地址,下面我测试

    首先使用防火墙ping114.114.114.114

    防火墙通的 

    我们使用pc试一下:我们可以看到pc1和pc3都ping不通

     

    为什么不通,因为我们没有左防火墙的地址转换,我们我把内网地址使用nat技术进行隐藏访问

    下面配置nat策略

    在系统视图下:

    我们进入nat-policy然后创建一个office1到untrust的名称 

     

    设置源区域和目标区域

    源区域为office1

    目标区域为untrust

    然后创建源地址:

     这里设置的是整个网段

     这里我们nat转换为easy-ip

     这里office1就设置完成了

    查看

    office2同理

    首先进入nat策略,创建名称为office2到untrust

    然后源区域为office2,目标区域为untrust

    源IP地址为192.168.20.0 24

    然后设置nat转换的格式:easy-ip

    这里nat地址转换就完成了,下面我们使用pc机测试一下

    pc1

    访问114.114.114.114

    访问百度

     pc3

    访问114.114.114.114

     pc3

    访问百度

     以上,nat源地址转换就完成了,如有问题请留言

    展开全文
  • linux iptables 防火墙 设置nat 转换 实验需求 linux 进行nat 转发 设置 现只有一台linux 主机上 拥有 外网网线连接 和 可以正常使用的公网IP 不更改网络连接的情况下 需要内网的机器 也能通过 这个网线连接外网 ...
  • 华为防火墙双向NAT

    2022-03-20 11:07:55
    如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问...
  • eNSP防火墙NAT

    千次阅读 2022-01-05 01:50:13
    上次我们简单的说了一下防火墙的安全策略,这次说说NAT(网络地址转换)的简单配置,拓扑如下 假定192.168.10.100为公司内网,192.168.30.100为公网 内网192.168.10.100直接使用该ip访问外网有一定安全隐患,...
  • 华为防火墙配置(防火墙NAT

    千次阅读 多人点赞 2021-12-05 15:01:08
    一、防火墙NAT概述 1、防火墙NAT策略介绍 2、NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3、NAT策略组成 4、NAT策略匹配规则 5、NAT策略处理流程 6、源NAT的...
  • 需要注意的是,如果需要区域间通信,则需要通过安全策略放行通信来实现,下面,我们将通过简单的拓扑使用防火墙做nat和dns…… 1.实验拓扑内网通过dhcp接口下放192.168.1.0网段,FW1的g1/0/1接口ip为10.1.1.1/24,...
  • 打开ensp模拟器,添加两个client,一个server和一个FW,设备与接口连接如下所示: 第一步,规划地址如下: 两个client地址分别为192.168.0.2和192.168.0.3,掩码为255.255.255.0,...防火墙设置vlan 10 ,作为...
  • 防火墙网络地址转换技术(NAT

    千次阅读 2021-03-13 19:45:39
    防火墙NAT地址转换技术使用场景:NAT处理流程:基于源地址转换的NATNo-PATNAPTsmart NAT:Easy-ip:基于目的地址转换的NAT服务器映射Nat-Server服务器负载均衡SLB黑洞路由: 使用场景: 私网用户访问Internet:通过...
  • 华三防火墙配置?1。将路由器的线路连接到防火墙的WLAN端口,然后将防火墙的LAN端口连接到内部交换机。2进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168.1.1 dns61.233.154.33。一般不设置LAN端口。设置...
  • 华为USG6600防火墙NAT地址转换配置实例.pdf
  • 天融信防火墙NAT和地址映射配置步骤,需要仔细研究
  • 最全面安恒防火墙NAT配置实例,物超所值,仅供分享
  • 防火墙nat配置

    千次阅读 2021-02-28 20:44:11
    1.防火墙nat配置 配置相应安全区域 [FW1]firewall zone trust [FW1-zone-trust]add interface g1/0/1 [FW1]firewall zone untrust [FW1-zone-untrust]add interface g1/0/4 [FW1]firewall zone dmz [FW1-zone-dmz]...
  • 搭建拓扑,合理规划网段并配置终端以及防火墙接口IP地址。终端IP地址省略。 防火墙各个接口IP地址: [USG6000V1]int g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip ad 192.168.1.254 24 [USG6000V1]int g1/0/1 [USG...
  • 我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat转换,但是一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之后,才会产生相应的server-map表,也正是因为这样...
  • 1:网络地址转换NAT 建立NAT的动机是IP地址减少。 NAT的工作原理就是重写通过路由器的数据包的识别信息(IP地址)。 传统NAT:基本NAT和NAPT(网络地址端口转换) 传统NAT包括基本NAT(网络地址转换)和NAPT(网络...
  • 防火墙
  • 防火墙NAT

    2022-01-01 18:27:36
    防火墙NAT防火墙NAT的区别:防火墙实验开始没有设置防火墙时,PC1与PC2均可以访问到PC3,PC3也可以访问到PC2和PC1。设置防火墙之后,只有PC1可以访问到PC3,而PC2不可以访问到PC3。NAT协议实验 防火墙NAT的...
  • H3C NAT配置手册

    2017-12-20 14:18:02
    华三防火墙中关于NAT的配置说明,配置命令及典型的配置案例
  • 首先呢,我们要构建一个简单拓扑图,这个拓扑图是我用华为ensp搭建的,如果大家对路由交换方面感兴趣的话,可以自己下一个ensp照着我的文章把这个技术学一学 首先给大家介绍一下这张拓扑图它是由一个华为的...
  • 华为防火墙NAT介绍及配置详解

    万次阅读 多人点赞 2019-10-27 14:03:19
    特定的NAT转换时,可能会产生环路及无效ARP,关于其如何产生,大概就是,有些NAT的转换方式中,是为了解决内网连接Internet,而映射出了一个公有IP,那么,若此时有人通过internet来访问这个映射出来的公有IP,...
  • 防火墙NAT技术

    万次阅读 多人点赞 2019-03-14 11:12:14
    防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个...
  • 解决需求:对内网服务器提供不同的服务独立做NATServer映射。
  • 防火墙NAT策略

    2021-04-14 10:38:12
    这里写自定义目录标题防火墙NAT策略NAT 的分类防火墙上配置NAT No-pat方式的地址转换,步骤如下 防火墙NAT策略 NAT 的分类 内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 25,993
精华内容 10,397
关键字:

在防火墙做nat转换