锐捷防火墙(WEB)——端口映射原理及配置

发布于:2023-09-21 ⋅ 阅读:(246) ⋅ 点赞:(0)

目录

Ⅰ  端口映射原理

Ⅱ  端口映射配置

 

Ⅰ  端口映射原理

功能原理

            备注:全映射的实现原理与端口映射一样,端口映射是将某个端口映射出来,而全映射是将所有端口均映射到公网IP上。

          数据从NGFW通过时的处理流程:

            入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。

            源NAT转换通俗地讲即将源地址转换为另一个地址,目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网。

            目的NAT转换通俗地讲即将目的地址转换为另一个地址,源地址不变。公网地址访问私网地址的服务器首先是将数据发给服务器所在的局域网的公网地址,

            再由设备将目的地址转换为服务器地址。

            1、外网地址192.168.33.177访问服务器192.168.3.1的过程为:

            a、外网访问服务器的源IP为192.168.33.177,目的地址为192.168.33.229,目的端口为9999,经过NGFW的目的NAT转换,将目的IP转换为192.168.3.1,目的端口转换为80。

            b、服务器回应时源IP为192.168.3.1,源端口为80,目的地址为192.168.33.177,匹配刚才目的NAT转换所建的流表将源IP地址转换为192.168.33.229,源端口转换为9999.

  2、内网用户192.168.3.20通过公网地址192.168.33.229访问服务器的数据过程需保证来回路径一致,所以需要配置源NAT转换也需要配置目的NAT转换:

           a、内网PC发出的源IP为192.168.3.20,目的IP为192.168.33.229,数据到NGFW后,将源IP转换为内网口IP地址192.168.3.254,目的IP转换为192.168.3.1,(注意目的端口也由9999变为80).

            b、服务器收到数据后回应的源IP为192.168.3.1,目的IP为192.168.3.254,数据到NGFW后,匹配刚才源NAT转换和目的NAT转换的流表,将192.168.3.1变为192.168.33.229,192.168.3.254变为192.168.3.20,则此时源IP地址变为192.168.33.229(注意源端口也由80变为9999),目的IP地址变为192.168.3.20,发送给内网PC。

Ⅱ  端口映射配置

一、组网需求

        如下图所示,用户已完成了防火墙基础配置,现在需要将内网的一台web服务器(192.168.1.2)需要端口映射到外网口的地址(172.18.159.122),让外网的用户能远程桌面到此服务器。

        同时内网用户也可以用公网地址访问服务器。

二、网络拓扑

三、配置要点

       1、基础上网配置

       2、配置虚拟ip(DNAT)

       3、配置安全策略

四、操作步骤

       1、基础上网配置

            配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:

            接口IP配置如下:

路由配置如下:

2、配置虚拟IP(DNAT)

            进入菜单:安全策略--虚拟IP,点击“新建”:

配置虚拟IP:名称为webserver,用于wan1口

重要说明:

  1. 外部端口必须选择映射的外网接口否者导致端口映射无法正常访问。例如本案例外网口是WAN1。
  2. 外网口拨号线时,外部的IP地址范围写全0【0.0.0.0-0.0.0.0】,外部接口务必要选择正确对应的拨号接口

3、"外部的ip地址或范围"和"映射的IP地址或范围"数量是对应,一对一映射,起始框和结束框都得填写,映射ip只需要填写第一个框,后面框会根据数量对应关系 自动填写。比如202.1.1.3-202.1.1.10,内部映射起始IP是192.168.1.2,结束ip必须是192.168.1.9(自动填写),对应映射关系也是对应的,202.1.1.3对应192.168.1.2;202.1.14对应该192.168.1.3,依此类推。

如果是单个地址的映射起始地址填写一样即可。

4、新版本【V5.2-R5.14.9600.P6】之后新增内网服务器TCP端口探测功能,配置虚拟ip时可先探测内网映射的服务器是否开启,绿色打勾则开启,灰色色打叉则关闭,仅支持TCP端口探测。如下图:

3、配置安全策略

     进入 安全策略--策略,点击 新建,按如下方式添加策略

            源接口/区:wan1    //与配置虚拟ip的外部接口相同

            源地址:all

            目的接口/区: internal1

            目的地址选择:   webserver//定义好的虚拟IP映射对象,多个时可以点击后面的"多个"一次性加入

            服务: ALL     

     NAT:源NAT地址转换,启用之后表示会转换成数据出接口的ip地址作为源;如此案例中该选项改为启用NAT,那么外网用户来访问内网的服务器,源地址变成internal1的接口ip地址

配置之后策略如下图:

注意:在全新NGFW的配置过程中,仅需要一条策略即可同时实现外网用户访问服务器,以及内网用户使用公网地址访问内网服务器。

五、验证效果

          从外部、内部远程桌面访问到172.18.159.122,  测试成功。如果需要测试刚映射是否有效可以在策略的服务临时添加 ping服务进行测试。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布