防火墙开启指定类型的NAT ALG功能

2.5  配置NAT ALG

(1)     进入系统视图。

system-view

(2)     开启指定或所有协议类型的NAT ALG功能。

nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sctp | | sqlnet | tftp | xdmcp }

缺省情况下，DNS、FTP、ICMP差错报文、PPTP、RTSP协议类型的NAT ALG功能处于开启状态，其他协议类型的NAT ALG功能处于关闭状态。

2.6  配置NAT DNS mapping功能

1. 功能简介

NAT DNS mapping功能适用于DNS服务器在公网、私网用户希望通过域名来访问私网内部服务器的场景中，用于将DNS响应报文载荷中内部服务器域名对应的公网IP替换为私网IP，从而让私网用户使用替换后的私网IP访问内部服务器。

DNS mapping功能需要和服务器映射方式的地址转换配置配合使用：

(1)     DNS mapping建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。

(2)     服务器映射方式的地址转换配置中，用于匹配报文目的IP地址的过滤条件指定了内部服务器对外提供服务的公网IP地址，用于匹配报文携带的服务类型的过滤条件指定了内部服务器对外提供的服务类型以及端口号，转换动作指定了内部服务器公网IP地址转换后的私网IP地址。

(3)     NAT设备收到DNS响应报文后，根据报文中的域名查找DNS mapping映射表，并根据表项内的“公网地址+公网端口+协议类型”信息查找服务器映射方式的地址转换配置中该信息对应的私网地址，替换DNS查询结果中的公网地址。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DNS协议类型的NAT ALG功能。

nat alg dns

缺省情况下，DNS协议类型的NAT ALG功能处于开启状态。

(3)     配置一条域名到内部服务器的映射。

nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port

可配置多条域名到内部服务器的映射。