C114门户论坛百科APPEN| 举报 切换到宽版

通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
返回列表 发新帖
查看: 12534|回复: 0
打印

[固网终端] 华为USG6000防火墙.内网用户通过公网IP访问内部服务器 [复制链接]

Male不在线
已经无心思

军衔等级:

  上等兵

注册:2014-3-26
跳转到指定楼层
1#
发表于 2017-6-1 20:17:32 |只看该作者 |倒序浏览
最近比较多人问内网如何通过公网IP、域名访问内部服务器,这里涉及数据回流问题,可以通过域内NAT来实现



配置思路
  • 配置接口IP地址和安全区域,完成网络基本参数配置。
  • 配置安全策略。
  • 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
  • 配置源NAT策略使PC D可以访问服务器的公网地址。
  • 在FW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
  • 在FW上配置黑洞路由,避免FW与Router之间产生路由环路。
  • 在Router上配置到服务器映射的公网地址的静态路由。

操作步骤

1.配置接口IP地址和安全区域,完成网络基本参数配置。


# 配置接口GigabitEthernet 1/0/1的IP地址。

<FW> system-view

[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24

[FW-GigabitEthernet1/0/1] quit


# 配置接口GigabitEthernet 1/0/2的IP地址。

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24

[FW-GigabitEthernet1/0/2] quit


# 将接口GigabitEthernet 1/0/1加入Untrust区域。

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 1/0/1

[FW-zone-untrust] quit


# 将接口GigabitEthernet 1/0/2加入DMZ区域。

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet 1/0/2

[FW-zone-dmz] quit



2.配置安全策略。

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone untrust

[FW-policy-security-rule-policy1] destination-zone dmz

[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24

[FW-policy-security-rule-policy1] action permit

[FW-policy-security-rule-policy1] quit

[FW-policy-security] quit



3.配置NAT地址池。

[FW] nat address-group addressgroup1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11

[FW-address-group-addressgroup1] route enable

[FW-address-group-addressgroup1] quit



4.配置源NAT策略。

[FW] nat-policy

[FW-policy-nat] rule name policy_nat1

[FW-policy-nat-rule-policy_nat1] source-zone dmz

[FW-policy-nat-rule-policy_nat1] destination-zone dmz

[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32

[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1

[FW-policy-nat-rule-policy_nat1] quit

[FW-policy-nat] quit



5.配置NAT Server功能。

[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www

[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp



6.开启FTP协议的NAT ALG功能。

[FW] firewall zone dmz

[FW-zone-dmz] detect ftp

[FW-zone-dmz] quit

[FW] firewall interzone dmz untrust

[FW-interzone-dmz-untrust] detect ftp

[FW-interzone-dmz-untrust] quit



7.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254



8.配置黑洞路由,避免FW与Router之间产生路由环路。

[FW] ip route-static 1.1.1.10 32 NULL 0



9.在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往FW。


通常需要联系ISP的网络管理员来配置此静态路由

举报本楼

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-6-15 15:35 , Processed in 0.227806 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部