DP 目的 NAT 配置案例
1.组网说明
某企业需要将内网 Web 服务器(192.168.1.10)映射到公网,展示公司产品;管理服务(192.168.1.254)映射到公网,便于管理员远程管理,考虑到安全问题不能使用 3389 端口,映到。外网端口为 9636 端口。企业向运营商申请了 1 个公网 IP 地址 211.1.136.10。
2.配置前提
Host 主机 3 台、二层交换机 1 台、组网配置、安全域、地址对象、自定义服务对象、静态路由、目的 NAT、包过滤策略。
3.注意事项
包过滤策略中引用端口对象需要在自定义服务对象中进行定义
4.配置思路
通过目的 NAT 配置,将内网 Web 服务器(192.168.1.10)和管理服务器(192.168.1.254)映射到公网,公网地址配置为 211.1.136.10。其中将 Web 服务器的 80 端口映射为 8080,将管理服务器的 3389端口映射为 9636。
5.配置步骤
进入【基本】=>【接口配置】=>【组网配置】页面,在 IP 列单击“无”选择“静态 IP”,设置 IP地址,分别在接口 gige0_0 配置 IP 地址 192.168.1.1/24,gige0_1 配置 IP 地址 211.1.136.10/24,单击“确认”按钮,如下图所示
6.配置安全域
进入【基本】=>【对象管理】=>【安全域】页面,将 gige0_0 加入到 DMZ,将 gige0_1 加入到Untrust,单击“提交”按钮,如下图所示:
7.配置静态路由
进入【基本】=>【路由管理】=>【单播 IPv4 路由】=>【静态路由】页面,添加默认路由(网关由运营商提供),单击“提交”按钮,如下图所示
8.配置目的NAT
进入【业务】=>【NAT 配置】=>【目的 NAT】页面,配置 Web 服务器目的 NAT 策略,出接口选择“gige0_1”,公网地址为“211.136.1.10”,服务选择“TCP 8080 端口”,如下图所示:
内网地址配置为“192.168.1.10-192.168.1.10”,高级配置“内网服务器 80 端口”,单击“提交”按钮,如下图所示:
配置管理服务器目的 NAT 策略,选择出接口为“gige0_1”,公网地址为“211.136.1.10”,服务选择“TCP 端口 9636”,内网地址配置为“192.168.1.254-192.168.1.254”,高级配置“内网服务器 3389 端口”,单击“提交”按钮,如下图所示:
9.配置IP地址对象
进入【基本】=>【对象管理】=>【IP 地址】页面,单击“复制”按钮,添加用户 IP 地址,单击“提交”如下图所示:
10.配置自动以服务对象
进入【基本】=>【对象管理】=>【服务】=>【自定义服务】页面,配置自定义服务对象名称为:TCP3389,选择 TCP 协议,源端口范围 0-65535,目的端口范围 3389~3389,单击“提交”如下图所示:
11.配置包过滤策略
(1) 进入【业务】=>【安全策略】=>【IPV4 包过滤】页面,配置公网能够访问 Web 服务器,包过滤名称 Web,源域选择“Untrust”,目的域选择“DMZ”,源 IP 选择“Any”,目的 IP 选择“Web 服务器”,服务选择“HTTP”,动作选择“通过”,如下图所示:
(2) 配置公网能够访问管理服务器,包过滤名称管理,源域选择“Untrust”,目的域选择“DMZ”,源 IP 选择“Any”,目的 IP 选择“管理服务器”,服务选择“管理 TCP3389”,动作选择“通过”,如下图所示:
12.结果验证
公网计算机通过访问 http://211.136.1.10:8080 访问公司的 Web 服务,通过远程 9636 端口远程内部管理服务器 192.168.1.254
閱讀更多 雪心影 的文章
