H3C防火墙内网设备用公网ip访问服务器
- 0关注
- 0收藏,118浏览
要命令行配置
就是在防火墙的内网口上配置nat hairpin enable 就行
就是在防火墙的内网口上配置nat hairpin enable 就行
场景拓扑与假设
防火墙型号: H3C SecPath F100-S-G
公网接口: GigabitEthernet0/0 (联通ISP)
IP地址:
202.100.1.100/29(假设公网IP)
内网接口: GigabitEthernet0/1
IP地址:
192.168.1.1/24
内网服务器:
IP地址:
192.168.1.10服务: Web服务 (TCP 80端口)
目标: 让内网PC(例如
192.168.1.20)在浏览器输入公网IPhttp://202.100.1.100:80时,能够访问到内网服务器192.168.1.10:80。
配置思路
接口与域配置: 将接口划分到正确的安全域(如Trust、Untrust)并放通域间策略。
NAT配置: 配置目的NAT(NAT Server),将公网IP的端口映射到内网服务器。
安全策略配置: 放通从内网域(Trust)到本机域(Local)的流量(因为回流时,内网PC的请求会先发给防火墙的Local地址)。
(可选但重要)NAT Hairpin功能: 在接口上启用
nat hairpin enable,这是解决回流问题的关键命令。
详细配置步骤
第1步:登录防火墙并进入配置模式
使用串口线、Telnet或SSH方式登录防火墙,进入系统视图。
<H3C> system-view
[H3C] sysname FW
[FW]第2步:配置接口IP并加入安全域
/* 配置内网接口,并加入Trust域 */
[FW] interface GigabitEthernet0/1
[FW-GigabitEthernet0/1] ip address 192.168.1.1 24
[FW-GigabitEthernet0/1] quit
[FW] security-zone name Trust
[FW-security-zone-Trust] import interface GigabitEthernet0/1
[FW-security-zone-Trust] quit
/* 配置外网接口,并加入Untrust域 */
[FW] interface GigabitEthernet0/0
[FW-GigabitEthernet0/0] ip address 202.100.1.100 29
[FW-GigabitEthernet0/0] quit
[FW] security-zone name Untrust
[FW-security-zone-Untrust] import interface GigabitEthernet0/0
[FW-security-zone-Untrust] quit第3步:配置NAT Server(端口映射)
这是让外网用户访问内网服务器的标准配置,同时也是NAT回流的基础。
[FW] nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.10 80protocol tcp: 指定协议为TCP。global 202.100.1.100 80: 指定对外提供的公网IP和端口。inside 192.168.1.10 80: 指定内部服务器的真实IP和端口。
第4步:配置安全策略(关键步骤)
NAT回流时,内网PC (192.168.1.20) 访问公网IP (202.100.1.100) 的流量,对于防火墙来说,目的地址是其自身的公网IP(属于Local域)。因此需要放通 源为内网(Trust) 到 目的为防火墙本身(Local) 的流量。
/* 创建一条安全策略,允许内网用户访问防火墙的Local地址 */
[FW] security-policy
[FW-security-policy] rule name Trust_to_Local_NAT_Loopback /* 给策略起个易懂的名字 */
[FW-security-policy-rule-Trust_to_Local_NAT_Loopback] source-zone Trust
[FW-security-policy-rule-Trust_to_Local_NAT_Loopback] destination-zone Local
[FW-security-policy-rule-Trust_to_Local_NAT_Loopback] source-ip-subnet 192.168.1.0 24 /* 源IP是整个内网段 */
[FW-security-policy-rule-Trust_to_Local_NAT_Loopback] action pass /* 动作为允许 */
[FW-security-policy-rule-Trust_to_Local_NAT_Loopback] quit
[FW-security-policy] quit
/* 同时需要确保有策略允许外网访问(如果外网也需要访问)*/
[FW] security-policy
[FW-security-policy] rule name Untrust_to_Trust_Web
[FW-security-policy-rule-Untrust_to_Trust_Web] source-zone Untrust
[FW-security-policy-rule-Untrust_to_Trust_Web] destination-zone Trust
[FW-security-policy-rule-Untrust_to_Trust_Web] destination-ip-host 192.168.1.10 /* 目的IP是服务器 */
[FW-security-policy-rule-Untrust_to_Trust_Web] service tcp destination-port 80 /* 目的端口是80 */
[FW-security-policy-rule-Untrust_to_Trust_Web] action pass
[FW-security-policy-rule-Untrust_to_Trust_Web] quit
[FW-security-policy] quit第5步:启用NAT Hairpin功能(最关键的一步)
NAT Hairpin功能允许从内网接口发出的报文(即内网PC访问公网IP的报文)可以进行NAT地址转换。
此功能需要在内网接口(G0/1)上启用。
[FW] interface GigabitEthernet0/1
[FW-GigabitEthernet0/1] nat hairpin enable
[FW-GigabitEthernet0/1] quit第6步:保存配置
所有配置完成后,务必保存,否则重启后配置会丢失。
[FW] save force配置验证
在内网找一台PC (
192.168.1.20),打开命令行,ping公网IP202.100.1.100,应该能通。在该PC的浏览器中直接访问
http://202.100.1.100,应该能成功打开内网服务器提供的网页。在防火墙上使用
display nat session命令查看NAT会话,可以看到源地址是内网IP (192.168.1.20),目的地址是公网IP (202.100.1.100),并且经过了转换。[FW] display nat session verbose
可能遇到的问题及排查点
功能不支持: 极老的软件版本可能不支持
nat hairpin命令。请通过display version查看版本信息,并考虑升级到最新推荐版本。安全策略未命中: 使用
display security-policy rule all检查策略配置是否正确,并使用display security-policy statistics查看策略是否有命中计数(Matched次数是否增加)。服务器本身的问题: 确保直接用内网IP (
http://192.168.1.10) 在内网PC上可以访问,以排除服务器本身的问题。
按照以上步骤配置,您的H3C F100-S-G防火墙应该能完美实现内网设备通过公网IP访问内网服务器的需求。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明