比如我从untrut域里面进来,防火墙可以做映射,将untrust域内的a地址,映射到trust域内的b地址。
(0)
如果您想将从Untrust域中访问Trust域中的地址进行映射,需要进行目的地址NAT(Destination NAT)配置。
以下是一个示例命令,假设要将Untrust域中的IP地址192.0.2.1映射到Trust域中的IP地址10.0.0.1:
[FW] acl number 2000
[FW-acl-basic-2000] rule permit source any destination 10.0.0.1 0
[FW-acl-basic-2000] quit
[FW] firewall-nat address-group 1 untrust
[FW-firewall-nat-addrgrp-1-untrust] add ip 192.0.2.1 mask 255.255.255.255
[FW-firewall-nat-addrgrp-1-untrust] quit
[FW] firewall-nat address-group 1 trust
[FW-firewall-nat-addrgrp-1-trust] add ip 10.0.0.1 mask 255.255.255.255
[FW-firewall-nat-addrgrp-1-trust] quit
[FW] firewall-nat policy 1
[FW-firewall-nat-policy-1] action nat-address-group
[FW-firewall-nat-policy-1] nat-address-group 1
[FW-firewall-nat-policy-1] acl-number 2000
[FW-firewall-nat-policy-1] quit
[FW] commit
其中,acl number 2000命令创建一个ACL规则,用于限制源地址和目的地址(在这里是允许任意源地址访问目标地址10.0.0.1)。然后,firewall-nat address-group 1 untrust和firewall-nat address-group 1 trust命令分别将Untrust域中的IP地址192.0.2.1和Trust域中的IP地址10.0.0.1添加到NAT地址组中。最后,firewall-nat policy 1命令创建一个NAT策略,将匹配acl-number 2000的数据包的目的地址转换为NAT地址组中的对应地址。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论