NAT配置之双向NAT详解

最新推荐文章于 2025-04-26 16:41:18 发布
原创 最新推荐文章于 2025-04-26 16:41:18 发布 · 6.2k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维 #网络 #计算机网络 #网络安全

文章讲述了双向NAT的工作原理,特别是在出口防火墙中,当私网用户访问内部服务器时,如何结合源NAT和目的NAT,以及配置NATServer和安全策略来确保流量正常转发。着重介绍了公网用户访问私网服务器的两个场景:一是公网用户通过NAT访问,二是私网用户在同一安全区域内的通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注意:一般出口防火墙会配置一条默认路由到运营商!!!运营商那边也是一样的道理!!!

既然有了源NAT以及目的NAT,那么如果将两者结合起来,对“同一流”同时转换源目地址,这就是双向NAT,不可以简单理解成同时配置了源NAT、目的NAT就是双向NAT,双向NAT主要用于以下两种场景。

一、公网用户访问内部服务器

前提:私网服务器与防火墙源NAT地址池必须在同一个网段!!!

[USG]firewall zone dmz
[USG-zone-dmz]add interface g1/0/0
[USG-zone-dmz]firewall zone untrust
[USG-zone-untrust]add interface g1/0/1

[USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
route 
[USG]display firewall server-map 
2023-12-25 12:49:48.860 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 198.51.100.2:9980[192.168.1.2:80],  Zone:---,  protoc
ol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.2[198.51.100.2] -> ANY,  Zone:---,  protoc
ol:tcp
 Vpn: public -> public,  counter: 1

[USG]nat address-group addressgroup1
[USG-address-group-addressgroup1]mode pat
[USG-address-group-addressgroup1]section 0 192.168.1.5 192.168.1.10
[USG-address-group-addressgroup1]q
[USG]nat-policy
[USG-policy-nat]rule name policy_nat1
[USG-policy-nat-rule-policy_nat1]source-zone untrust
[USG-policy-nat-rule-policy_nat1]destination-zone dmz
[USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
[USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
[USG-policy-nat-rule-policy_nat1]q
[USG-policy-nat]q

[USG]security-policy 
[USG-policy-security]rule name policy1
[USG-policy-security-rule-policy1]source-zone untrust
[USG-policy-security-rule-policy1]destination-zone dmz	
[USG-policy-security-rule-policy1]destination-address 192.168.1.2 32	
[USG-policy-security-rule-policy1]service http
[USG-policy-security-rule-policy1]action permit 
[USG-policy-security-rule-policy1]q
[USG-policy-security]q

[USG]ip route-static 0.0.0.0 0 198.51.100.253

[USG]display firewall session table 
2023-12-25 12:58:38.630 
 Current Total Sessions : 1
 http  VPN: public --> public  203.0.113.2:2051[192.168.1.9:2049] --> 198.51.100
.2:9980[192.168.1.2:80]

三个点:①配置黑洞路由,unr-route;②源NAT地址池地址段为私网地址,而不是公网地址;③安全策略的目的地址是服务器的私网地址,因为先执行了NAT-Server,再进行源NAT转换。

为什么有了NAT-SERVER,还需要双向NAT呢? 

原因在于,源NAT地址池的地址段是私网地址,且与服务器私网地址属于同一个网段,服务器收到转换后的报文,发现源地址与自己属于同一网段,那么回应报文时,就不会查路由,而是发出ARP广播报文询问此地址的MAC地址,防火墙会回应,服务器就将回应报文发给防火墙。

私网服务器不用查路由,总得来说,就是不需要配置网关,如果有很多服务器要修改网关,这时候双向NAT就方便了。

二、私网用户访问内部服务器

这种主要是小型网络,服务器和私网用户同属一个安全区域,且处于同个网络。

现在,私网用户想通过公网IP:198.51.100.2访问私网服务器,除了要配置NAT Server之外,还要配置源NAT,转换成私网地址或者公网地址,都是没问题的。

为什么不能单独配置NAT Server呢?

当私网用户访问198.51.100.2:9980,防火墙将其转换成192.168.1.2:80,发送给私网服务器,私网服务器回应报文时,发现之前报文的源地址与自己处于同一网段,于是直接不经过防火墙发送给了私网用户。

[USG]firewall zone trust 
[USG-zone-trust]add interface g1/0/0

[USG]nat server protocol tcp global 198.51.100.2 9980 inside 192.168.1.2 80 unr-
route 

[USG]display firewall server-map 
2023-12-25 13:26:17.240 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 198.51.100.2:9980[192.168.1.2:80],  Zone:---,  protoc
ol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.1.2[198.51.100.2] -> ANY,  Zone:---,  protoc
ol:tcp
 Vpn: public -> public,  counter: 1

[USG]nat address-group addressgroup1
[USG-address-group-addressgroup1]mode pat
[USG-address-group-addressgroup1]section 0 192.168.0.5 192.168.0.10
[USG-address-group-addressgroup1]q
[USG]nat-policy
[USG-policy-nat]rule name policy_nat1
[USG-policy-nat-rule-policy_nat1]source-zone trust	
[USG-policy-nat-rule-policy_nat1]destination-zone trust	
[USG-policy-nat-rule-policy_nat1]destination-address 192.168.1.2 32
[USG-policy-nat-rule-policy_nat1]action source-nat address-group addressgroup1
[USG-policy-nat-rule-policy_nat1]q
[USG-policy-nat]q
[USG]

[USG]display firewall session table 
2023-12-25 13:30:05.200 
 Current Total Sessions : 1
 http  VPN: public --> public  192.168.1.3:2050[192.168.0.8:2049] --> 198.51.100
.2:9980[192.168.1.2:80]

一般防火墙对同个区域内流动的报文是不进行控制的,因此没有配置安全策略,根据实际情况而定。

华为安全-防火墙-双向NAT
w2685797168的博客
11-12 3900
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT和域内双向NAT
双向NAT应用场景和配置
Richardlygo的博客
08-28 2742
局域网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要域内双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局域网(地址重叠的情况),其中一个局域网中的客户端需要访问另外一个局域网中的服务器时,例如双方局域网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
【防火墙域内双向NAT技术】
2302_79794013的博客
04-26 813
防火墙域内双向NAT技术
NAT协议
whiteso的博客
04-02 1346
当用户拥有的公网IP地址个数较多时,配置NAT设备出接口的IP地址和其他应用之后,还有可用的空闲公网IP地址时,可以选择NAPT。设备收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。设备根据源IP Hash算法从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
五、双向NAT
u012451051的博客
11-24 3834
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
双向NAT(基于USG6000V)
YancyYue颜悦的专栏
07-01 2410
域内NAT+NAT Server、域间NAT+NAT Server
NAT(地址转换技术)详解
热门推荐
粥同学的学习笔记
03-17 26万+
目录 NAT产生背景 ip地址基础知识 NAT技术的工作原理和特点 静态NAT 动态NAT NAT重载(经常应用到实际中) NAT技术的优缺点 优点 缺点 NAT穿越技术 应用层网关(ALG) ALG的实际应用 NAT技术的未来 参考文献 NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分...
双向NAT=源NAT+NAT Server,有这么6?
09-18 2115
首先,我们需要定义哪些接口是内部接口,哪些是外部接口。
双向NAT
Hakkazhongli的博客
06-21 5254
双向NAT转换: 可以同时转换数据包的源ip、目的ip、源端口、目的端口。金融行业外联网中,内部服务器地址不能直接被外联单位访问,需要转换成外网的地址,且不希望外联单位的路由引入内网,避免外联单位地址重叠,需要实现外联单位的源地址转换。 配置内部服务器静态NAT映射成外网地址 静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。 1)基于ip地址的一对一映射 R1(config)#ip nat inside source static 172.16..
安全HCIP之双向NAT
XiaoHG_优快云的博客
10-08 964
双向NAT 双向NATNATserver + 源NAT,即转换源也转换目标; 域间双向NAT转换 域间双向NAT服务器回包(网关); 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置; 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址; 防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址; ...
H3C_综合配置NAT及端口映射基础案例
04-20
《H3C综合配置NAT及端口映射基础案例详解网络技术中,NAT(Network Address Translation)和端口映射是确保内部网络与外部网络通信的重要手段,尤其是在有限的公网IP资源下。本文将深入解析H3C网络设备(如...
NAT双向地址转换
03-16
NAT双向地址转换
IPv6过渡技术详解NAT64配置实例及其应用
02-25
其次,在PC1和PC2之间的具体例子中演示了NAT64的实际运用方法,从IPv6端发出的数据经由配置好的防火墙FW被成功转发至IPv4终端,整个过程中体现了完整的双向通信机制,最后展示了一些测试命令与结果。此外,还讨论了...
华为-NAT技术详解
09-29
双向NAT指的是客户端和服务器之间的双向转换,适用于客户端需要主动连接服务器的场景。例如,Client3(202.1.3.2)通过FTP访问202.1.1.88的88端口,但实际上访问的是Server1(10.1.3.1)的21端口,而Server1未配置...
防火墙--NAT技术,基于源NATNAT服务器双向NAT
weixin_74749868的博客
09-16 1785
Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号不同,同样不会生成server-map表。双向NAT是源NATNAT server的组合,并不是说同时配置了源NATNAT server。一个私网地址转换了一个公网地址,而另外两个转换了一个公网地址(预留地址)
网络地址转换NAT详解配置
qdz060525的博客
11-12 6372
网络地址转换NAT详解配置
网络——域内双向NAT技术
Jay
04-18 1643
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
双向NAT技术
坏坏-5的博客
07-15 478
主要介绍双向NAT技术,以及双向NAT中的NAT Server-SNAT和域内NAT的实验配置
NAT技术总结与双向NAT配置案例
weixin_45103766的博客
05-15 3050
分析查看流量走向,流量(源1.3 目的11.6)经交换机到达Router后会转换目的ip,此时(源1.3,目的1.2),接下来可以到达内网服务器,内网服务器收到报文后,要返回流量。返回时,源目地址交换(源1.2,目的1.3),流量到达交换机(1.2–1.3)后,因为统一网段可直接发给内网主机。nat环路问题,pc1发送查找202.1.1.10的路由 经过由路由器r1交给防火墙,防火墙30位掩码地址段只有.1和.2两个地址,snat地址不在其中。配置双向nat,使得内网用户通过公网ip访问内网服务器
双向nat
最新发布
05-20
### 双向NAT配置与实现 #### 路由器或防火墙的基础配置 为了实现双向NAT,路由器或防火墙设备需要能够同时支持源地址转换(Source NAT, SNAT)和目标地址映射(Destination NAT, DNAT)。这种功能通常通过以下步骤来完成: 1. **定义内部网络和外部网络接口** 在路由器或防火墙上,需明确指定哪些接口属于内部网络(`ip nat inside`),以及哪些接口属于外部网络(`ip nat outside`)。这是区分流量方向并应用相应NAT规则的前提条件[^1]。 2. **配置NAT (SNAT)** 源NAT用于修改来自内部网络的数据包的源IP地址。当内部主机访问互联网时,其私有IP地址会被替换为公共IP地址。以下是基于Cisco IOS的一个简单示例配置: ```cisco-ios access-list 10 permit 192.168.1.0 0.0.0.255 ip nat pool MY_POOL 203.0.113.1 203.0.113.1 netmask 255.255.255.248 ip nat inside source list 10 pool MY_POOL overload ``` 上述命令的作用是创建一个名为MY_POOL的NAT池,并将其分配给ACL编号10所匹配的内部网络流量。此过程实现了从私网到公网的源地址转换。 3. **配置NAT Server (DNAT)** 目标NAT主要用于将进入外部网络的目标IP地址重定向至内部网络中的某台服务器。例如,如果希望外部用户可以通过某个公网IP访问内部Web服务器,则可以这样配置: ```cisco-ios ip nat inside source static tcp 192.168.1.100 80 interface GigabitEthernet0/1 80 ``` 此处表示将GigabitEthernet0/1接口上的端口80请求转发到内部IP `192.168.1.100` 的HTTP服务上。 #### 处理特殊协议的支持 需要注意的是,在某些复杂场景下,仅依赖基本的NAT机制可能不足以满足需求。比如FTP、DNS等多通道协议会在数据载荷中携带额外的IP地址或端口号信息,而标准NAT不会自动更新这些字段的内容。因此,针对这类情况还需要启用相应的ALG(Application Layer Gateway)或者手动调整策略以确保兼容性[^2]。 --- ### 示例代码展示 下面给出一段Python脚本模拟简单的NAT表管理逻辑,虽然实际生产环境下的操作应完全遵循硬件厂商指南执行,但该片段有助于理解原理层面的知识点。 ```python class NatTable: def __init__(self): self.table = {} def add_snat(self, private_ip, public_ip): """Add Source NAT entry.""" self.table[private_ip] = {'type': 'snat', 'public_ip': public_ip} def add_dnat(self, external_ip, internal_ip): """Add Destination NAT entry.""" self.table[external_ip] = {'type': 'dnat', 'internal_ip': internal_ip} # Example usage of the class if __name__ == "__main__": nat_manager = NatTable() nat_manager.add_snat('192.168.1.10', '203.0.113.1') nat_manager.add_dnat('203.0.113.1', '192.168.1.10') print(nat_manager.table) ``` 以上程序展示了如何构建一个简易版的NAT映射关系数据库模型。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值