NAT配置之双向NAT详解

最新推荐文章于 2025-09-11 09:13:43 发布
原创 最新推荐文章于 2025-09-11 09:13:43 发布 · 7k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维 #网络 #计算机网络 #网络安全

文章讲述了双向NAT的工作原理,特别是在出口防火墙中,当私网用户访问内部服务器时,如何结合源NAT和目的NAT,以及配置NATServer和安全策略来确保流量正常转发。着重介绍了公网用户访问私网服务器的两个场景:一是公网用户通过NAT访问,二是私网用户在同一安全区域内的通信。

注意:一般出口防火墙会配置一条默认路由到运营商!!!运营商那边也是一样的道理!!!

既然有了源NAT以及目的NAT,那么如果将两者结合起来,对“同一流”同时转换源目地址,这就是双向NAT,不可以简单理解成同时配置了源NAT、目的NAT就是双向NAT,双向NAT主要用于以下两种场景。

一、公网用户访问内部服务器

前提:私网服务器与防火墙源NAT地址池必须在同一个网段!!!

[USG]firewall zone dmz
[USG-zone-dmz]add interface g1/0/0
[USG-zone-dmz]firewall zone untrust
[USG-zone-untrust]add interface g1/0/1

[USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
route 
[USG]display firewall server-map 
2023-12-25 12:49:48.860 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 198.51.100.2:9980[192.168.1.2:80],  Zone:---,  protoc
ol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.2[198.51.100.2] -> ANY,  Zone:---,  protoc
ol:tcp
 Vpn: public -> public,  counter: 1

[USG]nat address-group addressgroup1
[USG-address-group-addressgroup1]mode pat
[USG-address-group-addressgroup1]section 0 192.168.1.5 192.168.1.10
[USG-address-group-addressgroup1]q
[USG]nat-policy
[USG-policy-nat]rule name policy_nat1
[USG-policy-nat-rule-policy_nat1]source-zone untrust
[USG-policy-nat-rule-policy_nat1]destination-zone dmz
[USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
[USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
[USG-policy-nat-rule-policy_nat1]q
[USG-policy-nat]q

[USG]security-policy 
[USG-policy-security]rule name policy1
[USG-policy-security-rule-policy1]source-zone untrust
[USG-policy-security-rule-policy1]destination-zone dmz	
[USG-policy-security-rule-policy1]destination-address 192.168.1.2 32	
[USG-policy-security-rule-policy1]service http
[USG-policy-security-rule-policy1]action permit 
[USG-policy-security-rule-policy1]q
[USG-policy-security]q

[USG]ip route-static 0.0.0.0 0 198.51.100.253

[USG]display firewall session table 
2023-12-25 12:58:38.630 
 Current Total Sessions : 1
 http  VPN: public --> public  203.0.113.2:2051[192.168.1.9:2049] --> 198.51.100
.2:9980[192.168.1.2:80]

三个点:①配置黑洞路由,unr-route;②源NAT地址池地址段为私网地址,而不是公网地址;③安全策略的目的地址是服务器的私网地址,因为先执行了NAT-Server,再进行源NAT转换。

为什么有了NAT-SERVER,还需要双向NAT呢? 

原因在于,源NAT地址池的地址段是私网地址,且与服务器私网地址属于同一个网段,服务器收到转换后的报文,发现源地址与自己属于同一网段,那么回应报文时,就不会查路由,而是发出ARP广播报文询问此地址的MAC地址,防火墙会回应,服务器就将回应报文发给防火墙。

私网服务器不用查路由,总得来说,就是不需要配置网关,如果有很多服务器要修改网关,这时候双向NAT就方便了。

二、私网用户访问内部服务器

这种主要是小型网络,服务器和私网用户同属一个安全区域,且处于同个网络。

现在,私网用户想通过公网IP:198.51.100.2访问私网服务器,除了要配置NAT Server之外,还要配置源NAT,转换成私网地址或者公网地址,都是没问题的。

为什么不能单独配置NAT Server呢?

当私网用户访问198.51.100.2:9980,防火墙将其转换成192.168.1.2:80,发送给私网服务器,私网服务器回应报文时,发现之前报文的源地址与自己处于同一网段,于是直接不经过防火墙发送给了私网用户。

[USG]firewall zone trust 
[USG-zone-trust]add interface g1/0/0

[USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
route 

[USG]display firewall server-map 
2023-12-25 13:26:17.240 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 198.51.100.2:9980[192.168.1.2:80],  Zone:---,  protoc
ol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.2[198.51.100.2] -> ANY,  Zone:---,  protoc
ol:tcp
 Vpn: public -> public,  counter: 1

[USG]nat address-group addressgroup1
[USG-address-group-addressgroup1]mode pat
[USG-address-group-addressgroup1]section 0 192.168.0.5 192.168.0.10
[USG-address-group-addressgroup1]q
[USG]nat-policy
[USG-policy-nat]rule name policy_nat1
[USG-policy-nat-rule-policy_nat1]source-zone trust	
[USG-policy-nat-rule-policy_nat1]destination-zone trust	
[USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
[USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
[USG-policy-nat-rule-policy_nat1]q
[USG-policy-nat]q
[USG]

[USG]display firewall session table 
2023-12-25 13:30:05.200 
 Current Total Sessions : 1
 http  VPN: public --> public  192.168.1.3:2050[192.168.0.8:2049] --> 198.51.100
.2:9980[192.168.1.2:80]

一般防火墙对同个区域内流动的报文是不进行控制的,因此没有配置安全策略,根据实际情况而定。

双向NAT:源NATNAT Server 结合体,网络工程师必知!
网络技术联盟站
08-15 673
双向NAT是一种高级的NAT应用形式,它结合了源NAT和目的NAT的功能,使得同一条数据流在经过设备时能够同时转换其源地址和目的地址。双向NAT的这种特性,使其在跨域网络通信、负载均衡、安全防护等场景中,发挥着不可替代的作用。
双向NAT应用场景和配置
Richardlygo的博客
08-28 3186
局域网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要域内双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局域网(地址重叠的情况),其中一个局域网中的客户端需要访问另外一个局域网中的服务器时,例如双方局域网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
Nebula网络穿透中的双NAT问题分析与解决方案
最新发布
gitblog_00583的博客
09-11 429
在分布式网络解决方案Nebula的实际部署中,网络地址转换(NAT)环境下的节点连接问题是一个常见挑战。本文通过一个典型案例,深入分析双NAT环境下的连接问题本质,并提供可行的解决方案。 ## 问题现象分析 在AWS公有云与LTE移动网络组成的混合环境中,观察到以下特殊现象: 1. 双向握手尝试均能触发对端日志记录,但最终都会超时失败 2. 偶尔能够意外建立连接成功 3. 启用中转(relay...
五、双向NAT
u012451051的博客
11-24 4282
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
双向NAT(基于USG6000V)
YancyYue颜悦的专栏
07-01 2689
域内NAT+NAT Server、域间NAT+NAT Server
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 4229
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT和域内双向NAT
NAT(地址转换技术)详解
热门推荐
粥同学的学习笔记
03-17 27万+
目录 NAT产生背景 ip地址基础知识 NAT技术的工作原理和特点 静态NAT 动态NAT NAT重载(经常应用到实际中) NAT技术的优缺点 优点 缺点 NAT穿越技术 应用层网关(ALG) ALG的实际应用 NAT技术的未来 参考文献 NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分...
精选资源
H3C_综合配置NAT及端口映射基础案例
04-20
《H3C综合配置NAT及端口映射基础案例详解网络技术中,NAT(Network Address Translation)和端口映射是确保内部网络与外部网络通信的重要手段,尤其是在有限的公网IP资源下。本文将深入解析H3C网络设备(如...
IPv6过渡技术详解NAT64配置实例及其应用
02-25
其次,在PC1和PC2之间的具体例子中演示了NAT64的实际运用方法,从IPv6端发出的数据经由配置好的防火墙FW被成功转发至IPv4终端,整个过程中体现了完整的双向通信机制,最后展示了一些测试命令与结果。此外,还讨论了...
防火墙--NAT技术,基于源NATNAT服务器双向NAT
weixin_74749868的博客
09-16 2001
Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号不同,同样不会生成server-map表。双向NAT是源NATNAT server的组合,并不是说同时配置了源NATNAT server。一个私网地址转换了一个公网地址,而另外两个转换了一个公网地址(预留地址)
华为NAT配置原理,配置逻辑顺序,如何应用,配置命令解析和含义
2201_75459440的博客
08-11 1034
华为NAT技术通过IP地址转换解决IPv4短缺问题,支持内网访问外网及公网访问内网服务。主要分为静态NAT、动态NAT、NAPT、EasyIP和NATServer五类,满足不同场景需求。配置遵循"目的NAT→路由→源NAT"流程,需结合ACL和地址池管理。关键设备包括路由器/防火墙,典型应用含内网访问公网和服务发布。配置时需注意安全策略、路由可达和端口冲突等问题,高并发场景建议使用NAPT优化性能。通过display nat session可验证会话状态,实现高效安全的网络地址转换方案。
NAT双向地址转换
03-16
NAT双向地址转换
网络地址转换NAT详解配置
qdz060525的博客
11-12 6459
网络地址转换NAT详解配置
双向NAT=源NAT+NAT Server,有这么6?
09-18 2501
首先,我们需要定义哪些接口是内部接口,哪些是外部接口。
双向NAT
Hakkazhongli的博客
06-21 5342
双向NAT转换: 可以同时转换数据包的源ip、目的ip、源端口、目的端口。金融行业外联网中,内部服务器地址不能直接被外联单位访问,需要转换成外网的地址,且不希望外联单位的路由引入内网,避免外联单位地址重叠,需要实现外联单位的源地址转换。 配置内部服务器静态NAT映射成外网地址 静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。 1)基于ip地址的一对一映射 R1(config)#ip nat inside source static 172.16..
安全HCIP之双向NAT
XiaoHG_优快云的博客
10-08 1031
双向NAT 双向NATNATserver + 源NAT,即转换源也转换目标; 域间双向NAT转换 域间双向NAT服务器回包(网关); 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置; 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址; 防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址; ...
华为防火墙双向NAT
u010612642的博客
09-19 5703
NAT根据报文在防火墙上的流动方向进行分类:域间NAT、域内NAT 域间NAT:报文两个不同的安全区域之间流动时对报文进行NAT转换 根据流动方向的不同又可以分为 NAT Inbound:报文由低安全级别的安全区域向高安全级别的安全区域方向流动时,对报文进行的NAT转换。一般来说,这种情况是公网用户访问内部网络,不太常见 ...
网络——域内双向NAT技术
Jay
04-18 1722
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
双向NAT技术
坏坏-5的博客
07-15 560
主要介绍双向NAT技术,以及双向NAT中的NAT Server-SNAT和域内NAT的实验配置
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值