• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙F1000-8180

2022-10-19提问
  • 1关注
  • 0收藏,945浏览
粉丝:0人 关注:0人

问题描述:

外网是固定IP 想通过外网访问内网。如何配置目的地址转换

组网及组网描述:

在防火墙一个端口配置外网地址,一个端口配置了内网地址。

2 个回答
粉丝:237人 关注:8人

nat server

端口映射的命令是,在wan口下:nat server protocol tcp global 3.3.3.3 80 inside 1.1.1. 1 8090

有连点需要注意,

1,80端口默认情况下运营商可能是关闭的,需要备案才能用,需要和运营商联系下

2,做完端口映射,防火墙需要做域间策略,untrust到trust域放通映射的那两个端口


案例:

防火墙部署在互联网出口,内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口到外网,内网用户使用192.168.1.88加端口号8081可以正常访问服务器,目前需要实现外用用户通过公网地址202.1.1.100加端口号8081访问OA服务器

3.1  配置内部服务器映射(端口映射)

#在外网口GigabitEthernet1/0/1上配置内部服务器映射:允许外网用户通过公网地址202.1.1.100、端口8081访问内部服务器192.168.1.888081端口

<H3C> system-view

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1]ip add 202.1.1.100 255.255.255.248

[H3C-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 192.168.1.88 8081

[H3C-GigabitEthernet1/0/1] quit

3.2  安全策略配置

防火墙目前版本存在两套安全策略,请在放通安全策略前确认设备运行那种类型的安全策略?以下配置任选其一。

1. 通过命令“display cu | in security-policy”如果查到命令行存在“security-policy disable”或者没有查到任何信息,则使用下面策略配置。

      #创建地址对象组,地址对象组名称为OA服务器

[H3C]object-group ip address OA服务器

[H3C-obj-grp-ip-OA服务器]network host address 192.168.1.88

[H3C-obj-grp-ip-OA服务器]quit

#创建服务对象组,服务对象组名称为8081端口,目的端口8081

[H3C]object-group service 8081端口

[H3C-obj-grp-service-8081端口]service tcp destination eq 8081

[H3C-obj-grp-service-8081端口]quit

#创建IPv4对象策略,策略名称为0A服务器

[H3C]object-policy ip OA服务器

[H3C-object-policy-ip-OA服务器]rule 0 pass destination-ip 0A服务器 service 8081端口

#创建安全策略,源安全域为Untrust目的安全域为Trust,放通外网访问OA服务器的8081端口

[H3C]zone-pair security source Untrust destination Trust

[H3C-zone-pair-security-Untrust-Trust]object-policy apply ip OA服务器

[H3C-zone-pair-security-Untrust-Trust]quit


创建安全策略并放通localtrusttrustlocal的安全策略。

[H3C]security-policy ip

[H3C-security-policy-ip]rule 10 name test

[H3C-security-policy-ip-10-test]action pass

[H3C-security-policy-ip-10-test]source-zone Untrust

[H3C-security-policy-ip-10-test]destination-zone Trust

[H3C-security-policy-ip-10-test]destination-ip OA服务器

[H3C-security-policy-ip-10-test]service 8081端口

[H3C-security-policy-ip-10-test]quit


暂无评论

粉丝:160人 关注:1人

1 NAT

1.1 NAT简介

1.1.1 NAT工作机制

1.1.2 NAT转换控制

1.1.3 NAT实现方式

1.1.4 NAT表项

1.1.5 NAT支持多VPN实例

1.1.6 DNS mapping

1.1.7 NAT支持ALG

1.1.8 NAT444支持和BRAS联动

1.2 NAT配置任务简介

1.3 配置限制和指导

1.4 配置静态地址转换

1.4.1 配置准备

1.4.2 配置出方向一对一静态地址转换

1.4.3 配置出方向网段对网段静态地址转换

1.4.4 配置基于对象组的出方向静态地址转换

1.4.5 配置入方向一对一静态地址转换

1.4.6 配置入方向网段对网段静态地址转换

1.4.7 配置基于对象组的入方向静态地址转换

1.5 配置动态地址转换

1.5.1 配置限制和指导

1.5.2 配置准备

1.5.3 配置出方向动态地址转换

1.5.4 配置入方向动态地址转换

1.6 配置内部服务器

1.6.1 配置普通内部服务器

1.6.2 配置负载分担内部服务器

1.6.3 配置基于ACL的内部服务器

1.7 配置NAT444地址转换

1.7.1 配置NAT444端口块静态映射

1.7.2 配置NAT444端口块动态映射

1.7.3 配置NAT444端口块全局共享功能

1.8 配置DS-Lite B4地址转换

1.9 调整NAT规则的匹配优先级

1.9.1 功能简介

1.9.2 配置限制和指导

1.9.3 配置准备

1.9.4 调整出方向动态NAT规则的匹配优先级

1.9.5 调整入方向动态NAT规则的匹配优先级

1.9.6 调整入方向一对一静态NAT规则的匹配优先级

1.9.7 调整出方向一对一静态NAT规则的匹配优先级

1.9.8 调整基于ACL内部服务器NAT规则的匹配优先级

1.10 开启NAT端口负载分担功能

1.11 配置DNS mapping

1.12 配置NAT hairpin功能

1.13 配置NAT ALG

1.14 配置NAT日志功能

1.14.1 配置NAT会话日志功能

1.14.2 配置NAT444用户日志功能

1.14.3 配置NAT告警信息日志功能

1.14.4 配置动态NAT444端口块使用率的阈值

1.15 开启NAT转换失败发送ICMP差错报文功能

1.16 开启反向报文的重定向功能

1.17 开启对TCP SYN和SYN ACK报文中时间戳的删除功能

1.18 开启NAT会话新建速率的统计功能

1.19 NAT显示和维护

1.20 NAT典型配置举例

1.20.1 内网用户通过NAT地址访问外网(静态地址转换)配置举例

1.20.2 内网用户通过NAT地址访问外网(地址不重叠)配置举例

1.20.3 内网用户通过NAT地址访问外网(地址重叠)配置举例

1.20.4 外网用户通过外网地址访问内网服务器配置举例

1.20.5 外网用户通过域名访问内网服务器(地址不重叠)配置举例

1.20.6 外网用户通过域名访问内网服务器(地址重叠)配置举例

1.20.7 内网用户通过NAT地址访问内网服务器配置举例

1.20.8 内网用户通过NAT地址互访配置举例

1.20.9 地址重叠的两个VPN之间互访配置举例

1.20.10 负载分担内部服务器配置举例

1.20.11 NAT DNS mapping配置举例

1.20.12 NAT444端口块静态映射配置举例

1.20.13 NAT444端口块动态映射配置举例

1.20.14 DS-Lite B4端口块动态映射配置举例

 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明