富贵论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

手机号码,快捷登录

手机号码,快捷登录

广告
查看: 6|回复: 0

[教程] 防火墙Trust区域访问互联网的NAT配置分享

[复制链接]

1万

主题

1万

帖子

4万

积分

巡抚

UID
58
金币
0 元
威望
0 点
贡献
13861 点
宣传
0 人
买家
0 点
卖家
0 点
注册时间
2017-6-30
最后登录
2024-7-20

交易达人勋章

发表于 2024-4-14 19:59 | 显示全部楼层 |阅读模式

上一节我们配置了内网用户访问DMZ区域,今天我们来配置一下内网用户访问互联网!

防火墙Trust区域访问互联网的NAT配置分享-1.jpg

首先配置好各接口IP地址,并将接口加入到相应的安全区域内

防火墙Trust区域访问互联网的NAT配置分享-2.jpg

防火墙Trust区域访问互联网的NAT配置分享-3.jpg

[FW1]nat address-group 1 10.1.1.20 10.1.1.21//配置NAT转换公网地址池;

[FW1]nat-policy interzone trust untrust outbound

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10

[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

//配置源NAT转换,也可以配置no-pat模式;

[

FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.2.0 mask 24 (某一段地址)

[

FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.10 0(允许单个主机放行)

[FW1-policy-interzone-trust-untrust-outbound-20]policy destination any

[

FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1//关联地址池,使用端口复用PAT模式;若使用动态NAT,多对多模式,配置下列命令:

[

FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1 no-pat//No-pat不进行端口转换,只进行地址转换,表示一对一转换,一个公网对应一个私网地址;

[FW1]policy interzone trust untrust outbound

[FW1-policy-interzone-trust-untrust-outbound]policy 20

[

FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.0 mask 24 (放行转换之前的地址,某一段地址)

[FW1-policy-interzone-trust-untrust-outbound-20]policy service service-set icmp//不配置表示允许所有;

[FW1-policy-interzone-trust-untrust-outbound-20]action permit

[FW1-policy-interzone-trust-untrust-outbound-20]q

[FW1-policy-interzone-trust-untrust-outbound]q

[FW1]

注意:按照数据包到防火的转发流程,先匹配安全策略,策略通过的话,再匹配源NAT。

防火墙Trust区域访问互联网的NAT配置分享-4.jpg

查看NAT策略

[FW1]display nat-policy all

[FW1]display nat-policy interzone trust untrust outbound

防火墙Trust区域访问互联网的NAT配置分享-5.jpg

这个只有流量通过后,才能有数据;

[FW1]display firewall session table

防火墙Trust区域访问互联网的NAT配置分享-6.jpg

检查安全策略

display policy all

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.11

display ip routing-table protocol static

防火墙Trust区域访问互联网的NAT配置分享-7.jpg

防火墙Trust区域访问互联网的NAT配置分享-8.jpg

防火墙Trust区域访问互联网的NAT配置分享-9.jpg

display firewall session table

防火墙Trust区域访问互联网的NAT配置分享-10.jpg

display firewall session table verbose

防火墙Trust区域访问互联网的NAT配置分享-11.jpg

[FW1]display firewall packet-filter default all

防火墙Trust区域访问互联网的NAT配置分享-12.jpg

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|手机版|小黑屋|富贵论坛 ( 琼ICP备2022019866号-1 )

GMT+8, 2024-7-21 02:34 , Processed in 0.131251 second(s), 42 queries .

Powered by fgba.net

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表