私网用户使用公网地址访问内部服务器(配置源进源出)

于 2025-03-12 17:08:45 发布
阅读量759 收藏 25
点赞数 30
文章标签: 服务器 网络 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ducanwang/article/details/146209842
版权

组网需求

某公司在网络边界处部署了DeviceA作为接入网关,内网还部署了Web服务器和FTP服务器为内网用户(以PC D为例)提供FTP服务和WWW服务。由于IP地址资源有限,该公司只有一个可用的公网IP地址1.1.1.1,部署在DeviceA的公网接口上。为了防止内部服务器受内网用户的攻击,公司希望在DeviceA上配置NAT功能(NAT Server+源NAT),使内网用户必须使用公网接口的IP地址才能访问内部FTP/Web服务器和Internet。网络环境如图2-11所示,其中Router是ISP提供的网关。

图2-11 配置NAT Server+源NAT策略组网图

本图中interface1和interface2分别代表10GE0/0/1和10GE0/0/2。

 

项目

数据

说明

10GE0/0/1

IP地址:1.1.1.1/24

实际配置时需要按照ISP的要求进行配置。

10GE0/0/2

IP地址:10.2.0.1/24

内网服务器需要将10.2.0.1配置为默认网关。

NAT Server

名称:policy_web

公网地址:1.1.1.1

私网地址:10.2.0.7

公网端口:8080

私网端口:80

通过该映射,内网用户能够访问1.1.1.1,且端口号为8080的流量能够送给内网的Web服务器。

Web服务器的私网地址为10.2.0.7,私网端口号为80。

名称:policy_ftp

公网地址:1.1.1.1

私网地址:10.2.0.8

公网端口:21

私网端口:21

通过该映射,内网用户能够访问1.1.1.1,且端口号为21的流量能够送给内网的FTP服务器。

FTP服务器的私网地址为10.2.0.8,私网端口号为21。

源NAT策略

名称:policy_nat1

允许访问公网地址的私网地址:10.2.0.6

-

缺省路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在DeviceA上配置去往Internet的缺省路由。

配置思路

  1. 配置接口IP地址,完成网络基本参数配置。
  2. 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
  3. 配置源NAT策略使PC D可以访问服务器的公网地址。
  4. 在DeviceA上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  5. 在Router上配置到服务器映射的公网地址的静态路由。

操作步骤
  1. 配置接口IP地址,完成网络基本参数配置。

    # 配置接口10GE0/0/1的IP地址,并开启NAT功能。

    <HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] interface 10ge 0/0/1
[DeviceA-10GE0/0/1] ip address 1.1.1.1 24
[DeviceA-10GE0/0/1] nat enable
[DeviceA-10GE0/0/1] quit

    # 配置接口10GE0/0/2的IP地址,并开启NAT功能。

    [DeviceA] interface 10ge 0/0/2
[DeviceA-10GE0/0/2] ip address 10.2.0.1 24
[DeviceA-10GE0/0/2] nat enable
[DeviceA-10GE0/0/2] quit

  2. 配置源NAT策略。 

    [DeviceA] nat-policy
[DeviceA-policy-nat] rule name policy_nat1
[DeviceA-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[DeviceA-policy-nat-rule-policy_nat1] action source-nat easy-ip
[DeviceA-policy-nat-rule-policy_nat1] quit
[DeviceA-policy-nat] quit

  3. 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。 

    [DeviceA] nat server policy_web protocol tcp global 1.1.1.1 8080 inside 10.2.0.7 www no-reverse route
[DeviceA] nat server policy_ftp protocol tcp global 1.1.1.1 ftp inside 10.2.0.8 ftp no-reverse route

  4. 开启FTP协议的NAT ALG功能。 

    [DeviceA] firewall detect ftp

  5. 配置缺省路由,使私网流量可以正常转发至ISP的路由器。 

    [DeviceA] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

  6. 在Router上配置到服务器映射的公网地址的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往DeviceA。

    通常需要联系ISP的网络管理员来配置此静态路由。

检查配置结果

  1. 私网用户可以访问内网服务器。
  2. 当私网用户访问内网服务器时,查询目的地址为内网服务器的公网地址的表项和源地址为内网PC的私网地址的表项,查看本次NAT转换的信息。存在该表项,且NAT转换后的目的IP地址为服务器私网地址、源IP地址为地址池中地址,表示NAT策略配置成功。 
    <HUAWEI> display session all verbose
  Session Table Information:
    Protocol          : 6(TCP)
    SrcAddr  Port Vpn : 10.2.0.6 2474
    DestAddr Port Vpn : 1.1.1.1 8080
    Time To Live      : 60s
    NAT Info
      New SrcAddr     : 10.2.0.1
      New SrcPort     : 2674
      New DestAddr    : 10.2.0.7
      New DestPort    : 80

  Total : 1

配置脚本

#
 sysname DeviceA
#
 nat server policy_web protocol tcp global 1.1.1.1 8080 inside 10.2.0.7 www no-reverse route
 nat server policy_ftp protocol tcp global 1.1.1.1 ftp inside 10.2.0.8 ftp no-reverse route
#
interface 10GE0/0/1
 ip address 1.1.1.1 255.255.255.0 
 nat enable
#
interface 10GE0/0/2
 ip address 10.2.0.1 255.255.255.0 
 nat enable
#
firewall detect ftp
#
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
#  
nat-policy  
  rule name policy_nat1 
    source-address 10.2.0.6 32
    action source-nat easy-ip
# 
return
目的NAT转换,进源功能,外网访问内部服务器(双口属于不同安全域)
IT技术小Home
08-29 5234
介绍双口环境下公网用户通过NAT策略访问内部服务器(双口属于不同安全区域)的配置举例。 企业一共申请了1.1.1.1和1.1.10.10公网ISP1的公网IP;2.2.2.2和2.2.20.10公网ISP2的公网IP地址; 1.1.1.1和2.2.2.2分别配置到防火墙的两个口接口上;1.1.10.10和2.2.20.10 分别作为服务器公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8 配置思路 配置接口IP地址和安全区域,完成网络基本参数配置配置安全策略,允许外部网络
防火墙NAT实验,双机热备实验
qq_58187222的博客
04-14 1056
抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。测试:FW1为主用,FW2为 备用,断开FW1的接口,两个防火墙就会进行切换。抓包测试:trust区域中的设备访问内部服务器,IP地址的变化。NAT策略中建立服务器映射。
内网通过公网地址访问内网服务器的设置方法
P2LINKniu的博客
11-05 4517
内网通过公网地址访问内网服务器的方法有多种选择,包括 P2Link内网穿透服务、云服务端口转发、FRP等。对于大多数个人用户或小型团队来说,P2Link是一个非常好的选择,因为它简单易用,且无需公网IP即可完成内网穿透,非常适合开发测试和小型应用场景。而对于有更高性能需求的企业级应用,云服务端口转发和 VPN 可能更为合适。总之,根据实际需求选择合适的内网穿透方式,可以高效、安全地实现内网服务器公网访问。如果是轻量级应用或者快速部署,P2Link无疑是最为推荐的方案。
想让内网服务器通过拥有公网ip的服务器上网?那你一定要看这个!
weixin_44853539的博客
05-13 2449
在云平台或者虚拟软件中,只有一个网卡/公网ip,导致在同一内网下的其他服务器无法连接外网,是不是很头疼呢?不要急,我们按照下面的步骤操作,即可让它们都能上网啦! 查看本机ip [root@zabbix-2 ~]# ip a 1: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether fa:16:3e:00:64:66
内网服务器通过能访问公网服务器进行上网,搭建VPC专有网络NAT网关,配置SNAT和DNAT规则
weixin_42107641的博客
09-03 893
项目场景: 参考:https://developer.aliyun.com/article/607330?spm=5176.smartservice_service_chat.0.0.4bd4709aFRFsjx 侵权联系删除 问题描述: 阿里云有两台云服务器,一台是centos7,一台Windows,只有centos7有公网ip访问互联网,Windows没有,想在Windows上也访问互联网。需要搭建VPC专有网络NAT网关,配置SNAT和DNAT规则,由于遇到上面参考的一些问题,在这记录一下 遇到的错误
华为防火墙之NAT技术
知识分享,学习记录,技术人生,,经验心得交流,IT晋升之路,一起成长,一起进步。
06-27 2668
对IP报文的地址进行转换,,使大量私网用户可以利用少量公网IP地址访问Internet,大大减少了对公网IP地址的消耗。NAT转换的过程如下图所示,当私网用户访问Internet的报文到达防火墙时,防火墙将报文的IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和Internet上的主机来说是完全透明的。
四、防火墙-NAT Server
u012451051的博客
11-24 1863
第一条,反向表,将报文地址192.168.10.2转换为110.1.1.1,第二条,反向表,将地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文地址由192.168.10.2转换为110.1.1.1,又可以将地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。
H3C设备校园网双配置
看清所以看轻
10-30 2316
一、策略路由是什么? 在H3C设备上,谈到双口,那么就避免不了策略路由这个概念,那么策略路由又是个什么鬼呢? 它与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由是在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变其转发路径的方法。 路由策略的操作对象是“路由”信息,主要通过对路由的过滤和对路由属性或参数...
防火墙NAT地址转换和智能选举综合实验
m0_67441173的博客
07-13 1346
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问内部服务器公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。
防火墙——NAT
aimnr的博客
09-17 3162
的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址地址接口在同一个网段,也可以勾选该选项,这种情况下虽然不会现环路,但是,有了这个黑洞路由,可以减少ARP报文的现;五元组NAT --- 通过IP,端口,目标IP,目标端口,协议五个参数来标定一次NAT的转换,如果任何一个参数发生变化,都需要更换端口来进行转换。保留IP地址 ---- 可以将不需要使用公网IP地址放置在保留IP地址中,则在进行转换的时候,不会使用地址转换。
移动、联通、电信三网接入要求进源。-三层
Liu_yi_ming的博客
11-04 2336
联通、电信、移动,三网同时接入内网,要求进源
liunx服务器双网卡配置进源
qq_42216071的博客
04-26 2795
多网卡配置
网络故障排除—NAT-进源
limengshi138392的博客
05-28 825
网络故障排除—NAT-进源
华为防火墙企业双口专线,配置策略路由实现多个ISP接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条口线路现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
RouterOS 软路由安装与设置
weixin_33737134的博客
01-13 1521
RouterOS软路由安装与设置一、版本选择推荐安装RouterOS 2.9.2.7或者RouterOS 3.2选择理由: 以上版本都是比较稳定的,根据自己的硬件配置和需要选择。如果硬件配置较低请选择Ros2.9.27.二、系统安装1、基本安装过程如下:根据需要选择安装组件,如果没有正确选择,也可在以后使用过程中添加或删除组件。用TAB键移动选项,用空格键确定选择,按I...
RouterOS(ROS)软路由基础配置指南
weixin_30846599的博客
03-01 1083
MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC电脑变成专业路由器,在软件RouterOS 软路由的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突的功能,其极高的性价比,受到许多网络人士的青睐。 1、下载安装盘,百度搜一个XX版(你懂的),或者在我的网盘...
解决nat server进源问题
ducanwang的博客
05-07 756
客户双口一边是运营商A,一边是运营商B,将内网服务器分别映射到运营商B和运营商A口。为了保证内部上网用户网速快,客户开启了运营商选路功能,运营商B的网站从运营商B去,运营商A的网站从运营商A去。然后写有两条等价默认路由分别指向两个外网口。现在发现运营商A的用户只能通过运营商A口的ip地址访问后台映射的服务器。运营商B的用户也只能通过访问运营商B接口来访问内部服务器
路由多运营商选路(进源配置
最新发布
ducanwang的博客
01-13 811
实现方法:配置MQC,抓取相应的进源服务器内部下联接口做inbound方向的重定向,重定向到相应的运营商的口下一跳中。nat address-group 3 group-id 3 x.x.x.x x.x.x.x(内部设备SNAT时候的地址池)nat server global x.x.x.x inside x.x.x.x(NAT SERVER的DNAT)redirect ip-nexthop x.x.x.x outbound(进源的NAT重定向)
华为模拟器进源的路由表
06-06
华为模拟器进源的路由表是用于模拟网络设备的路由表。在网络设备中,路由表是用于指导数据包转发的重要数据结构。在模拟器中,进源的路由表则是模拟网络设备的路由表,用于指导数据包在模拟器中的转发。它记录了网络设备的各个接口和路由器之间的网络拓扑关系,以及数据包在网络中转发的路径等信息。 具体来说,进源的路由表记录了每个目的地址的最佳口接口和下一跳地址。在转发数据包时,模拟器会根据数据包的目的地址查找路由表,找到对应的口接口和下一跳地址,然后将数据包发送到对应的接口上。 需要注意的是,路由表是动态变化的,当网络拓扑发生变化时,路由表也需要相应地更新。因此,在使用模拟器进行网络仿真时,需要不断地更新路由表,以保证仿真结果的准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数字化信息化智能化解决方案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值