目的NAT技术
对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。
静态目的nat
实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
ar
ip route-static 1.1.10.0 255.255.255.0 1.1.1.13、配置安全策略
security-policy
rule name 1
source-zone untrust
destination-zone trust
source-address 2.2.2.0 mask 255.255.255.0
destination-address 10.2.0.0 mask 255.255.255.0
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.11
nat-policy
rule name 1
source-zone untrust
//不能配置目的区域
//如果使用静态一对一映射时,地址池内地址数量必须和目的地址范围一致
destination-address range 1.1.10.10 1.1.10.11
service ftp
service http
service icmp
action destination-nat static address-to-address address-group a验证和分析
查看会话表(ftp被动模式)
<f1>dis fire session table
2022-02-10 03:30:18.480
Current Total Sessions : 3
icmp VPN: public --> public 2.2.2.2:256 --> 1.1.10.11:2048[10.2.0.11:2048]
ftp VPN: public --> public 2.2.2.2:2067 +-> 1.1.10.11:21[10.2.0.11:21]
ftp-data VPN: public --> public 2.2.2.2:2068 --> 1.1.10.11:2054[10.2.0.11:2054]查看server-map表
<f1>dis fire server-map
2022-02-10 03:31:26.950
Current Total Server-map : 1
Type: ASPF, 2.2.2.2 -> 1.1.10.11:2054[10.2.0.11:2054], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:09
Vpn: public -> public其session table 和server-map都是流量动态生成的。且默认没有生成反向表项。Server-map表项生成的是aspf表,引导ftp数据通道在被动模式下的建立,这是从公网client到私网server之间的tcp连接。没有源端口。
查看session table和server-map(主动模式)
<f1>dis fire server-map
2022-02-10 03:43:44.240
Current Total Server-map : 1
Type: ASPF, 10.2.0.11[1.1.10.11] -> 2.2.2.2:2070, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public
<f1>dis firewall session table
2022-02-10 03:43:46.090
Current Total Sessions : 2
ftp-data VPN: public --> public 10.2.0.11:20[1.1.10.11:20] --> 2.2.2.2:2070
ftp VPN: public --> public 2.2.2.2:2069 +-> 1.1.10.11:21[10.2.0.11:21]可见即使在主动模式下,fw也会动态建立server-map表项。
实验二:公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使服务器能够对外提供不同的服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.10.10)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。
私网一台服务器同时提供不同服务,企业也只为它申请到一个公网地址。可以使用不同的公网端口对应不同的私网端口,实现不同服务的访问。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
ar
ip route-static 1.1.10.0 255.255.255.0 1.1.1.13、配置安全策略
security-policy
rule name 1
source-zone untrust
destination-zone trust
source-address 2.2.2.0 mask 255.255.255.0
destination-address 10.2.0.0 mask 255.255.255.0
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.10//内网只做一台server
nat-policy
rule name 1
source-zone untrust
//不能配置目的区域
//如果使用静态一对一映射时,地址池内地址数量必须和目的地址范围一致
destination-address 1.1.10.10 32
service protocol tcp destination-port 2000 to 2001//数据始发时目标端口必须为2000-2001
action destination-nat static port-to-port address-group a 80 23//分别映射为80和23验证和分析
在fw公网侧抓包分析
检查fw的session table
[f1]dis fire session table
2022-02-10 14:12:05.330
Current Total Sessions : 1
ftp VPN: public --> public 2.2.2.2:2049 +-> 1.1.10.10:2000[10.2.0.10:21]
http VPN: public --> public 2.2.2.2:2057 --> 1.1.10.10:3000[10.2.0.10:80]
[f1]dis fire server-map
2022-02-10 14:12:08.110
Current Total Server-map : 1
Type: ASPF, 2.2.2.2 -> 1.1.10.10:2049[10.2.0.10:2049], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:01
Vpn: public -> public实验三:公网用户通过目的NAT访问内部服务器(公网端口与私网地址一对一进行映射)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。
即内网多台server使用一个公网地址,一方面可能申请到的公网地址不够,另一方面也是为了隐藏内网网络架构,因此,公网不需要考虑私网内有多少台server或者说不同server
的地址是多少,只需要访问给定的公网地址加上需要的服务对应的端口号,就能自动定向到私网不同的server上实现不同的服务。
内网的server1和server2都提供ftp服务,但是ftp的内容不一样,他们的私网地址不一样,但是在公网上通过不同的端口就可以登录到不同的server上。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
ar
ip route-static 1.1.10.0 255.255.255.0 1.1.1.13、配置安全策略
security-policy
rule name 1
source-zone untrust
destination-zone trust
source-address 2.2.2.0 mask 255.255.255.0//作为一台企业防火墙,并不需要考虑公网地址范围,因此这一步可以不配。
destination-address 10.2.0.0 mask 255.255.255.0//目的地址一定是私网地址
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.11//内网多台server
nat-policy
rule name 1
source-zone untrust
//不能配置目的区域
destination-address 1.1.10.10 32//目的地址只有一个公网地址
service protocol tcp destination-port 3000 to 3001//数据始发时目标端口必须为3000-3001,对应目的地址池私网地址数量
action destination-nat static port-to-address address-group a 21//全部映射为私网的21号端口验证和分析
使用3000端口登录了内网10.1.1.10
使用3001端口登录了内网10.1.1.11
检查server-map表和session table
[f1]dis fire server-map
2022-02-10 05:02:35.260
Current Total Server-map : 1
Type: ASPF, 2.2.2.2 -> 1.1.10.10:2051[10.2.0.10:2051], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:07
Vpn: public -> public
[f1]dis fire server-map
2022-02-10 05:02:45.880
Current Total Server-map : 1
Type: ASPF, 2.2.2.2 -> 1.1.10.10:2052[10.2.0.11:2052], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public
[f1]dis fire session table
2022-02-10 05:03:47.820
Current Total Sessions : 7
ftp VPN: public --> public 2.2.2.2:2091 +-> 1.1.10.10:3001[10.2.0.11:21]
ftp VPN: public --> public 2.2.2.2:2085 +-> 1.1.10.10:3000[10.2.0.10:21]
ftp VPN: public --> public 2.2.2.2:2089 +-> 1.1.10.10:3001[10.2.0.11:21]
ftp VPN: public --> public 2.2.2.2:2083 +-> 1.1.10.10:3001[10.2.0.11:21]
ftp VPN: public --> public 2.2.2.2:2087 +-> 1.1.10.10:3000[10.2.0.10:21]
ftp VPN: public --> public 2.2.2.2:2081 +-> 1.1.10.10:3001[10.2.0.11:21]
ftp VPN: public --> public 2.2.2.2:2079 +-> 1.1.10.10:3000[10.2.0.10:21]实验四:公网用户通过目的NAT访问内部服务器(公网地址与私网端口一对一转换)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使服务器能够对外提供不同的服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。
使用不同的公网地址,获得同一台私网服务器的不同服务。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
ar
ip route-static 1.1.10.0 255.255.255.0 1.1.1.13、配置安全策略
security-policy
rule name 1
source-zone untrust
destination-zone trust
source-address 2.2.2.0 mask 255.255.255.0//作为一台企业防火墙,并不需要考虑公网地址范围,因此这一步可以不配。
destination-address 10.2.0.0 mask 255.255.255.0//目的地址一定是私网地址
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.10//内网一台server提供不同服务
nat-policy
rule name 1
source-zone untrust
//不能配置目的区域
destination-address range 1.1.10.10 1.1.10.11//目的地址多个公网地址
service protocol tcp destination-port 2000//数据始发时目标端口数量对应目的地址池私网地址数量
action destination-nat static address-to-port address-group a 21 80//分别映射为私网的21号端口和80号端口验证和分析
Client使用1.1.10.10:2000的目的地址访问10.1.1.10的ftp服务。
Client使用1.1.10.11:2000的目的地址访问10.1.1.10的http服务
检查fw的session table和server-map
<f1>dis fire session table
2022-02-10 06:18:32.790
Current Total Sessions : 2
ftp VPN: public --> public 2.2.2.2:2093 +-> 1.1.10.10:2000[10.2.0.10:21]
http VPN: public --> public 2.2.2.2:2096 --> 1.1.10.11:2000[10.2.0.10:80]
<f1>dis fire server-map
2022-02-10 06:18:46.990
Current Total Server-map : 1
Type: ASPF, 2.2.2.2 -> 1.1.10.10:2053[10.2.0.10:2053], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:12
Vpn: public -> public实验五:双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于不同安全区域)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关,通过两个ISP接入Internet。为了使私网FTP服务器能够对外提供服务,需要在FW上配置NAT策略。除了公网接口的IP地址外,公司还向ISP1和ISP2分别申请了1.1.10.10和2.2.20.10作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP1和ISP2提供的接入网关。
实现不同区域不同公网地址访问私网服务。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 1.1.2.0 255.255.255.0 1.1.1.254
ip route-static 1.1.3.0 255.255.255.0 2.2.2.254
ar1
ip route-static 1.1.10.0 255.255.255.0 1.1.1.1
ar2
ip route-static 2.2.20.0 255.255.255.0 2.2.2.23、配置安全策略
security-policy
rule name 1
source-zone untrust1
source-zone untrust2//同类型条件之间是或的关系
destination-zone trust
destination-address 10.2.0.0 mask 255.255.255.0//目的地址一定是私网地址
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.10//内网一台server提供服务
nat-policy
rule name 1
source-zone untrust1
//不能配置目的区域
destination-address 1.1.10.10 32//目的地址为申请isp1的公网地址
service ftp
service icmp
action destination-nat static address-to-address address-group a //地址一对一的静态目的nat
rule name 2
source-zone untrust2
//不能配置目的区域
destination-address 2.2.20.10 32//目的地址为申请isp2的公网地址
service ftp
service icmp
action destination-nat static address-to-address address-group a //地址一对一的静态目的nat验证和分析
属于isp1的client1访问私网ftp服务
属于isp2的client2访问私网ftp 服务
检查fw的session table 和server-map
<f1>dis fire server-map
2022-02-10 07:03:45.220
Current Total Server-map : 1
Type: ASPF, 1.1.2.1 -> 1.1.10.10:2057[10.2.0.10:2057], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public
<f1>dis fire session table
2022-02-10 07:03:46.480
Current Total Sessions : 2
ftp-data VPN: public --> public 1.1.2.1:2106 --> 1.1.10.10:2057[10.2.0.10:2057]
ftp VPN: public --> public 1.1.2.1:2105 +-> 1.1.10.10:21[10.2.0.10:21]
<f1>dis fire session table
2022-02-10 07:04:24.960
Current Total Sessions : 3
ftp VPN: public --> public 1.1.3.1:2051 +-> 2.2.20.10:21[10.2.0.10:21]
ftp-data VPN: public --> public 1.1.3.1:2052 --> 2.2.20.10:2058[10.2.0.10:2058]
ftp VPN: public --> public 1.1.2.1:2105 +-> 1.1.10.10:21[10.2.0.10:21]
<f1>dis fire server-map
2022-02-10 07:04:26.430
Current Total Server-map : 1
Type: ASPF, 1.1.3.1 -> 2.2.20.10:2058[10.2.0.10:2058], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10
Vpn: public -> public实验六:双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于同一安全区域)
需求和拓扑
某公司在网络边界处部署了FW作为安全网关,通过两个ISP接入Internet。为了使私网FTP服务器能够对外提供服务,需要在FW上配置NAT策略。除了公网接口的IP地址外,公司还向ISP1和ISP2分别申请了1.1.10.10和2.2.20.10作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP1和ISP2提供的接入网关。
操作步骤
1、配置接口地址和安全区域
2、配置路由
Fw
ip route-static 1.1.2.0 255.255.255.0 1.1.1.254
ip route-static 1.1.3.0 255.255.255.0 2.2.2.254
ar1
ip route-static 1.1.10.0 255.255.255.0 1.1.1.1
ar2
ip route-static 2.2.20.0 255.255.255.0 2.2.2.23、配置安全策略
security-policy
rule name 1
source-zone untrust1
source-zone untrust2//同类型条件之间是或的关系
destination-zone trust
destination-address 10.2.0.0 mask 255.255.255.0//目的地址一定是私网地址
service ftp
service http
service icmp
action permit4、配置目的nat策略
//配置目的地址池,名字不能是数字
destination-nat address-group a 0
section 10.2.0.10 10.2.0.10//内网一台server提供服务
nat-policy
rule name 1
source-zone untrust
//不能配置目的区域
destination-address 1.1.10.10 32//目的地址为申请isp1的公网地址
service ftp
service icmp
action destination-nat static address-to-address address-group a //地址一对一的静态目的nat
rule name 2
source-zone untrust
//不能配置目的区域
destination-address 2.2.20.10 32//目的地址为申请isp2的公网地址
service ftp
service icmp
action destination-nat static address-to-address address-group a //地址一对一的静态目的nat5、配置源进源出功能和默认网关
[FW] interface GigabitEthernet1/0/1
[FW-GigabitEthernet 1/0/1] redirect-reverse next-hop 1.1.1.254
[FW-GigabitEthernet 1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet 1/0/1] quit
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet 1/0/2] redirect-reverse next-hop 2.2.2.254
[FW-GigabitEthernet 1/0/2] gateway 2.2.2.254
[FW-GigabitEthernet 1/0/2] quit这一步没有配也可以???
验证和分析
在fw上查看session table 和server-map表
[f1]dis fire session table
2022-02-10 10:17:40.880
Current Total Sessions : 4
icmp VPN: public --> public 1.1.2.1:256 --> 1.1.10.10:2048[10.2.0.10:2048]
ftp VPN: public --> public 1.1.3.1:2053 +-> 2.2.20.10:21[10.2.0.10:21]
ftp VPN: public --> public 1.1.2.1:2107 +-> 1.1.10.10:21[10.2.0.10:21]
ftp VPN: public --> public 1.1.2.1:2109 +-> 1.1.10.10:21[10.2.0.10:21]
[f1]dis fire server-map
2022-02-10 10:21:32.620
Current Total Server-map : 1
Type: ASPF, 1.1.2.1 -> 1.1.10.10:2062[10.2.0.10:2062], Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public本文所有的实验拓扑及完整配置均已上传公众号,关注并回复day7即可获得。
