为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

2-26防火墙-路由器_私服NAT功能

2017-12-08 18页 doc 314KB 29阅读

用户头像

is_589748

暂无简介

举报
2-26防火墙-路由器_私服NAT功能2-26防火墙-路由器_私服NAT功能 关于防火墙和路由器NAT私服功能应用补充 V1.0 技术服务部 --------罗继晨 目 录 一、前言........................................................................................................................................... 2 1.1网络地址转换 .......................................
2-26防火墙-路由器_私服NAT功能
2-26防火墙-路由器_私服NAT功能 关于防火墙和路由器NAT私服功能应用补充 V1.0 技术服务部 --------罗继晨 目 录 一、前言........................................................................................................................................... 2 1.1网络地址转换 .................................................................................................................... 2 1.2 NAT私服功能的作用 ....................................................................................................... 2 二、防火墙实现 NAT私服功能 .................................................................................................... 3 2.1实验目的 ............................................................................................................................ 3 2.2 Server与局域网主机在同一网段 ................................................................................... 3 2.2.1拓扑简介: .............................................................................................................. 3 2.2.2实验环境 .................................................................................................................. 4 2.2.3配置: ...................................................................................................................... 4 2.3 Server与局域网主机不在同一网段 ............................................................................... 6 2.3.1拓扑简介 .................................................................................................................. 6 2.3.2实验环境 .................................................................................................................. 7 2.3.3 配置 ......................................................................................................................... 7 2.4 SER与PC在不同网段,通过三层交换连接到防火墙的同一接口 ............................. 9 2.4.1 拓扑简介 ................................................................................................................. 9 2.4.2 实验环境 ............................................................................................................... 10 2.4.3 配置 ....................................................................................................................... 10 2.5防火墙实现nat私服功能 ...................................................................................... 11 三、宽带路由器系列实现 NAT私服功能: .............................................................................. 12 3.1拓扑简介 .......................................................................................................................... 12 3.2实验环境 .......................................................................................................................... 13 3.3配置: .............................................................................................................................. 13 四、备注说明:私服功能中引入临时IP地址的抓包信息 ....................................................... 14 五、注意事项 ................................................................................................................................. 15 一、前言 1.1网络地址转换 (NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。在IPv6还没有完全成熟和推广,而IPV4地址即将耗尽的背景下产生了NAT NAT提供了一种在多个内部网络中使用相同的IP地址空间,从而减少所需注册IP地址数量的途径。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 1.2 NAT私服功能的作用 NAT私服允许内部人员使用外网地址,访问内部已经建立了映射的主机。例如图1中,PC想要访问SER,在没有配置NAT私服功能的情况下,可以通过SER的内部本地地址192.168.2.2来访问。 配置私服并在防火墙建立映射后,可以使用172.16.116.115这个“外网”地址来访问SER。 斐讯防火墙和宽带系列路由器可通过WEB模式,(路由器也可命令行模式建立NAT私服功能。) 二、防火墙实现 NAT私服功能 2.1实验目的 使得内部PC用户可以使用172.16.116.115这个“外网”地址来访问同处于局域网的SER服务器。 按照server放置在局域网位置的不同,可分为下面两种情况,分别进行讨论。 1、 将server与局域网其它主机划分在同一个网段,防火墙实现私服功能的。 请参见下文2.2内容。 2、将server与局域网其它主机划分在不同一个网段,防火墙实现私服功能的方法。 (该项分为两方面实验: 1、 server放在防火墙的DMZ区域,其它局域网主机放在防火墙的Lan域。 请参见下文2.3内容。 2、 server和局域网主机放置在防火墙同一接口下的三层交换机的两个不同网段。 请参见下文2.4内容) 2.2 Server与局域网主机在同一网段 2.2.1拓扑简介: 下图实验中,172.16.0.0/16网段为外网,192.168.2.0/24为内网。防火墙实现的功能为: 1, 内网PC192.168.2.3通过E1口访问外网 2, 外网主机通过访问172.16.116.115访问服务器SER 192.168.2.2 3, 内网主机使用外网地址(172.16.116.115)访问服务器192.168.2.2 图1 2.2.2实验环境 防火墙机型:FF1040 软件版本:9.0.0B-61-20100109 PC MAC地址 :00:16:d3:5e:d9:d5 SER MAC地址:00:e0:4c:51:05:78 2.2.3配置: 1、在系统管理 ->网络->域 中建立lan域和wan域(lan域默认存在) 2、在系统管理 ->网络->接口 下配置各接口的IP地址及掩码,并划分到各自域内。 3、在系统管理 ->网络 ->IP池 下配一个地址池,地址任意。 8.8.8.8地址的作用:(详细环境和说明请参2.4.3-6) 当pc访问访火墙外网口E1的1234端口时,源地址为192.168.2.3 ,目的地址为172.16.116.115;数据到达防火墙后,源地址转换为8.8.8.8,目的地址转换为192.168.2.2. 往返路径一致。 地址池一定要配,不然服务器找不到回来的路径 4、在路由->静态路由 配置一条指向外网的静态路由。 5、在防火墙->策略中建立lan到wan,lan到lan,wan到lan的的策略,使之能互访。 Lan-lan:使得内部PC可以访问SER Lan-wan:使得内部用户可以访问外网 Wan-lan:使得外部用户可以访问LAN内SER 6、在防火墙->nat策略->SNAT 中新建两条策略。 条目1:允许用户访问外网。 条目2:允许2.0网段内所用用户访问SER。 当pc访问访火墙外网口E1的1234端口时,源地址为192.168.2.3 ,目的地址为172.16.116.115;数据到达防火墙后,源地址转换为地址池P1(即之前配置的第三方虚拟地址8.8.8.8),目的地址转换为192.168.2.2. 往返路径一致。 7、在防火墙->nat策略->虚拟IP 中新建2条策略,其中第一条“11”是将服务器192.168.2.2的80端口映射到外网口172.16.116.115的1234端口 (外部接口为防火墙外网口E1)供外网用户访问。 第二条“22”是将外网口地址172.16.116.115 的80端口映射到服务器SER 192.168.2.2的1234端口供内部访问,实现私服功能。 (外部接口为防火墙内网口E2,这是与路由器不同的~) 2.3 Server与局域网主机不在同一网段 2.3.1拓扑简介 LAN内的PC 192.168.4.2通过172.16.116.115访问DMZ区域的内的SER(192.168.2.2) 在某些情况下,客户将服务器与内网其它主机划分在不同一个网段,如上图所示拓扑,防火墙上面建立了三个域,即LAN域、WAN域和DMZ域, Server放置在DMZ域,内外其它主机放在LAN域,外网口设为WAN域,下面实验验证NAT私服功能的实现。 2.3.2实验环境 防火墙机型:FF1040 软件版本:9.0.0B-61-20100109 PC MAC地址 :00:16:d3:5e:d9:d5 SER MAC地址:00:e0:4c:51:05:78 2.3.3 配置 以下简述配置过程:(处于LAN域的PC想要访问处于DMZ域的SER) 1、在系统管理 ->网络->域 中建立DMZ域和wan域(lan域默认存在) 2 、系统管理 ->网络->接口 下新建接口,配置该DMZ域接口的IP为192.168.2.0/24 网段 3、在防火墙->策略 下新建如下策略 1.Wan->DMZ:使外部用户可以访问DMZ内的SER 2.Lan->Wan: 使内部用户可以访问外网 3.Wan->lan: 使外部用户可以访问DMZ域内的SER 4.Lan->DMZ:使Lan内PC可以访问DMZ内的PC DMZ-》wan DMZ-》lan 4 、防火墙->NAT策略->SNAT中, 条目1使得所有用户可以访问外网。 条目2使得E2下联的其他pc或者服务器访问192.168.2.2这台服务器。 条目3使得E3下LAN内所有用户可以访问DMZ内的SER。 5、在防火墙->NAT策略->虚拟IP(PAT)中配置虚拟IP,将192.168.2.2的80端口通过所有接口映射到外网地址的8888端口 经过测试,DMZ段的主机能够使用”公网地址”访问处于不同接口(LAN域)的SER.。 此时,将SNAT中DMZ映射的地址池P1取消。再测试,发现同样能够访问。说明这种拓扑需要借用8.8.8.8这个临时地址。 2.4 SER与PC在不同网段,通过三层交换连接到防火墙的同一接口 2.4.1 拓扑简介 2.4.2 实验环境 防火墙机型:FF1040 软件版本:9.0.0B-61-20100109 FS6800-48 软件版本: 2.0.1L PC MAC地址 :00:16:d3:5e:d9:d5 SER MAC地址:00:e0:4c:51:05:78 附L3 SW配置文件: 2.4.3 配置 三层交换机配置在上述L3 SWCONFIG..TXT中包括。 防火墙配置与2.2.3类同,以下列出不同处的配置: 1、在系统管理 ->网络->接口中修改防火墙的E2口IP地址为192.168.4.2 2、在路由->静态路由 中 增加到到192.168.2.0/24和192.168.3.0/24,下一跳为L3 SW的G0/1所属的VLAN的IP地址。 3、 在防火墙->NAT策略-> SNAT中 配置两个条目, 第一条将192.168.0.0/16内所有主机可以访问外网; 第二条使192.168.0.0/16 的所有用户可以访问SER 192.168.2.2 4在防火墙->NAT策略->虚拟IP(PAT)中,通过E2口将SER的80端口映射到“外网”IP的 8888端口。 至此,实验完成,和2.3实验一样,不需要地址池中定义的第三方虚拟地址来辅助完成转换。 2.5防火墙实现nat私服功能总结 下面解释引入8.8.8.8这个临时IP地址来解决server与内网其他pc用户处在同一个网段的时候,实现nat私服功能的原因。 实现该功能需要特别注意两个方面: 1 . 在防火墙内网口建立虚拟IP映射,外部接口为内网口。这是为了内网192.168.2.3访问172.16.116.115数据时候,在内网口E2口就完成了VIP(虚拟IP),因为防火墙处理是,第一步是匹配是否存在状态条目,第二步对进来的数据包判断出源域,第三步就是匹配是否进行VIP,是否进行目的地址转换。 2 . 为什么建立SNAT,源地址/掩码192.168.2.0 255.255.255.0,目的地址/掩码192.168.2.2 255.255.255.255,pool (P1)为8.8.8.8。 我们先假设没有做该SNAT时候,数据流程,PC 192.168.2.3访问目的IP 172.16.116.115 的数据包到内网口E2匹配VIP进行目的地址转换,目的IP变为192.168.2.2,这样服务器SER收到源IP为192.168.2.3目的IP 192.168.2.2的数据包,此时SER服务器回复数据的时候,目的IP为192.168.2.3,直接通过交换机二层转发给192.168.2.3,无需再经过防火墙,但是PC收到该数据包时候,会丢掉不进行处理,因为PC需要接受的数据包源IP为172.16.116.115而不是192.168.2.2。 这样问题就产生了,解决的方法就是添加如上一条SNAT。再看下数据流程,PC访问目的IP 172.16.116.115的数据包到内网口E2匹配VIP进行目的地址转换,目的IP变为 192.168.2.2,然后进行安全策略匹配,送至E2口,发现需要进行源地址转换,源地址192.168.2.3变成8.8.8.8,该数据包递交到SER,SER收到的数据包就为源IP为8.8.8.8 目的IP为192.168.2.2,回复的数据包目的IP为8.8.8.8,源IP为192.168.2.2,递交给防火墙,防火墙检测到已经存在该状态条目,匹配该状态条目,数据包经过处理后,送给PC,PC收到的数据包源IP为172.16.116.115,目的IP为192.168.2.3,PC处理该数据包,提交服务层。 并且需要注意的是,不同网段(甚至是经过三层交换机连到防火墙同一接口)的机器使用映射的公网地址进行访问的时候,也类同于WAN访问内部SER的情况,是不需要8.8.8.8这个临时IP地址的。 其实防火墙的私服NAT应用和路由器的私服NAT应用原理类似,因为路由器开启私服功能后,也会存在一个8.8.8.8 nat转换条目。(在文末附抓包截图) 三、宽带路由器系列实现 NAT私服功能: 3.1拓扑简介 下图实验中,172.16.0.0/16网段为外网,192.168.2.0/24为内网。路由器实现的功能为: 1.内网PC192.168.2.3通过E1口访问外网 2.外网主机通过访问172.16.116.115访问服务器SER 192.168.2.2 3.内网主机使用外网地址(172.16.116.115)访问服务器192.168.2.2 3.2实验环境 路由器软件版本:1.07K PC MAC地址 :00:16:d3:5e:d9:d5 SER MAC地址:00:e0:4c:51:05:78 3.3配置: 1、假设当前状态路由器已能够保证正常上网的情况下,添加下述配置完成NAT私服: 在网络选项->端口映射->端口映射 下,新建一条映射表,将外部地址172.16.116.115的8888端口映射到内部SER 192.168.2.2的80端口。 使得外部用户可以访问处于内网的SER服务器。 对应命令行模式的配置如下 Router_config# ip nat inside source static tcp 192.168.2.2 80 172.16.116.115 8888 2、在网络选项->端口映射->特殊映射 下,新建一条特殊映射表,(务必确保启用特殊映射选项打钩),将外部地址172.16.116.115的8888端口映射到内部SER 192.168.2.2的80端口, 使得内部PC 可以访问处于内网的SER服务器 对应配置如下 Router_config# ip nat service privateservice Router_config# ip nat outside destination static tcp 172.16.116.115 8888 192.168.2.2 80 附配置文档 四、备注说明:私服功能中引入临时IP地址的抓包信息 拓扑为路由器NAT私服中的拓扑,如下图第一行到第四行是一个PC用户ping SER的抓包过程。 1、(IP为192.168.2.3 MAC为00:16:d3:5e:d9:d5)通过键入172.16.116.115这个“公 网地址”想达到访问同处于LAN的 SER 192.168.2.2的功能。 2、地址池的8.8.8.8地址是一个虚拟第三方地址,把172.16.116.115替换成 了8.8.8.8 。 192.168.2.3(PC)对192.168.2.2(SER)的访问可以看成8.8.8.8对SER的访问 3、192.168.2.2(SER)认为是8.8.8.8这个地址和他通信,收到访问请求后,回复了8.8.8.8 4、8.8.8.8再将自己转换为172.16.116.115,并自己成为发往PC的数据包的源地址,并将目 的地址填写PC的IP地址。 完成转换过程。 五、注意事项 1. 在配置防火墙NAT私服功能时,如下图,起初错误的将SNAT第二行目的地址填成了172.16.116.115。 后经过过程以及抓包,搞清原理后,明白这个目的地址应该是PC机访问的最终实际用户,也就是SER(192.168.2.2), 而不是PC机输入的访问目的地址。 2. 在配置地址池中加入8.8.8.8的时候,子网掩码不能配置成255.255.255.255,这是与版本有关的。本实验中防火墙软件版本:9.0.0B-61-20100109 3 . 起初通过8.8.8.8这个第三方地址使得DMZ区域访问LAN域时可以通信。 但是后来发现,如果去掉8.8.8.8这个地址池也是可以访问的。因此,需不需要第三方地址,取决于双方是否处于同一网段。 4.防火墙实现nat的时候,外网口如果不连接线缆,或者成为外网口没有up,也可以实现内部用户通过外网地址访问SER的功能,而路由器不行
/
本文档为【2-26防火墙-路由器_私服NAT功能】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索