最近很多学员问内网如何通过公网IP、域名访问内部服务器,这里涉及数据回流问题,可以通过域内NAT来实现
配图环境如下:
配置思路配置接口IP地址和安全区域,完成网络基本参数配置。
配置安全策略。
配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
配置源NAT策略使PC D可以访问服务器的公网地址。
在FW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
在FW上配置黑洞路由,避免FW与Router之间产生路由环路。
在Router上配置到服务器映射的公网地址的静态路由。
操作步骤:
1.配置接口IP地址和安全区域,完成网络基本参数配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit
# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit
2.配置安全策略。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit
3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
4.配置源NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
5.配置NAT Server功能。
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp
6.开启FTP协议的NAT ALG功能。
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit
7.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
8.配置黑洞路由,避免FW与Router之间产生路由环路。
[FW] ip route-static 1.1.1.10 32 NULL 0
9.在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往FW。
通常需要联系ISP的网络管理员来配置此静态路由。