10防火墙网络地址翻译
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.30.5.9
Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.5 3000 23 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.6 6500 80 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.5 1.30.5.9 23 3000 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.6 1.30.5.9 80 6500
1.30.5.9
Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.5 3000 23 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.6 6500 80 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.5 1.30.5.9 23 3000 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.6 1.30.5.9 80 6500
1.30.5.9
Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.5 1.30.5.9 5500 80 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.6 1.30.5.9 2600 443 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.5 80 5500 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.6 443 2600
IP重定向,端口不重定向 重定向, 重定向
静态NAT设置 静态NAT设置
接口选项指转换后地址所绑定的接口,可以灵活进行各方向的转换 命令行:#Nat11 list: 列出已定义的静态地址转换列表 #Nat11 add <Ipin> <ipout>
端口NAT 端口NAT
10.1.10.15 HTTPS 10.1.10.16 FTP 10.1.10.22 SSH 10.1.20.27 IMAP 10.1.20.33 LDAP Rnat add 10.1.10.15 443 Rnat add 10.1.10.16 21 Rnat add 10.1.10.22 22 Rnat add 10.1.20.27 143 Rnat add 10.1.20.33 389 2.2.2.2 443 2.2.2.2 21 2.2.2.2 22 2.2.2.2 143 2.2.2.2 389 If1 10.1.10.1 If0 2.2.2.1
端口NAT工作原理(从外端口NAT工作原理(从外->内的访问)
10.1.10.5 Telnet 10.1.10.6 HTTP If1 10.1.10.1 If0 2.2.2.1
Internet
NAT设置: 设置: 设置 Rnat add 10.1.10.5 23 2.2.2.2 23 Rnat add 10.1.10.6 80 2.2.2.2 8080
动态NAT工作原理(从内- 外的访问) 动态NAT工作原理(从内->外的访问)
10.1.10.5 If1 10.1.10.1 If0 2.2.2.1
Internet
10.1.10.6
NAT设置: 设置: 设置 Natn1 add 10.1.10.5 2.2.2.1 Natn1 add 10.1.10.6 2.2.2.1
Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.1 1.30.5.9 2013 80 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.1 1.30.5.9 9069 80 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.1 80 2013 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.1 80 9069
Internet
• 端口地址转换是 对多的定向,将外网地址和端口定向为内网或DMZ的地址和端口 端口地址转换是1对多的定向,将外网地址和端口定向为内网或 对多的定向 的地址和端口 •(外网口用做定向的IP也叫做 (外网口用做定向的 也叫做 也叫做VIP) • 允许将 允许将VIP定向为内网或 定向为内网或DMZ多个网段内的地址和端口 定向为内网或 多个网段内的地址和端口 • 允许从外网通过 允许从外网通过VIP定向访问内网或 定向访问内网或DMZ,用来隐藏内部或 主机IP地址和端口 定向访问内网或 ,用来隐藏内部或DMZ主机 地址和端口 主机 • 不允许内网或 不允许内网或DMZ以VIP地址出外网访问 以 地址出外网访问
Internet
• 静态地址转换是 对1的转换,将内部或 静态地址转换是1对 的转换 将内部或DMZ的地址转换成外网地址 的转换, 的地址转换成外网地址 • 允许将内网或 允许将内网或DMZ多个网段内的地址转换成外网段地址 多个网段内的地址转换成外网段地址 • 允许以转换后的地址出外网访问 • 允许从外网访问转换后的地址,用来隐藏内部或 允许从外网访问转换后的地址,用来隐藏内部或DMZ主机 地址 主机IP地址 主机
Internet
2.2.2.0 255.255.255.0 Public IP’s
• 在RFC 1918中定义的分配给私有网络使用的IP Class A:10.0.0.0 - 10.255.255.255 Class B:172.16.0.0 - 172.31.255.255 Class C:192.168.0.0 - 192.168.255.255 • 私有IP地址不能通过路由进入Internet
1.30.5.9
Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.5 1.30.5.9 5500 80 Source IP | Dest. IP | Source Port| Dest.Port… 10.1.10.6 1.30.5.9 2600 80 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.5 80 5500 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 10.1.10.6 80 2600
LTFW的地址翻译种类 LTFW的地址翻译种类
• 动态NAT 动态NAT • 静态NAT 静态NAT • 端口NAT 端口NAT
动态NAT 动态NAT
10.1.10.0/24 If1 10.1.10.1 If0 2.2.2.1
Internet
10.1.20.8 PC1 10.1.20.9 PC2
IP转换,端口转换 转换, 转换
动态NAT设置 动态NAT设置
填入被转换的地址
填入转换后的 地址或地址段
填入目标地址,即只有当访 填入目标地址 即只有当访 问这个目的地址时, 问这个目的地址时,才进 行此条NAT规则的转换 行此条 规则的转换
目的地址为0.0.0.0/0时代表目的为任意地址 命令行:#Nata1 list: 列出已定义的动态地址转换列表
静态NAT工作原理(从内静态NAT工作原理(从内->外的访问)
10.1.10.5 If1 10.1.10.1 If0 2.2.2.1
Internet
HTTP HTTPS
10.1.10.6
NAT设置: 设置: 设置 Nat11 add 10.1.10.5 2.2.2.15 Nat11 add 10.1.10.6 2.2.2.16
Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.15 3000 23 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.16 6500 80 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.15 1.30.5.9 23 3000 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.16 1.30.5.9 80 6500
IP转换,端口不转换 转换, 转换
静态NAT工作原理(从外静态NAT工作原理(从外->内的访问)
10.1.10.5 Telnet 10.1.10.6 HTTP If1 10.1.10.1 If0 2.2.2.1
Internet
NAT设置: 设置: 设置 Nat11 add 10.1.10.5 2.2.2.15 Nat11 add 10.1.10.6 2.2.2.16
静态NAT 静态NAT
10.1.10.15 HTTPS 10.1.10.16 FTP 10.1.10.22 SSH 10.1.20.27 IMAP 10.1.20.33 LDAP Nat11 add 10.1.10.15 2.2.2.3 Nat11 add 10.1.10.16 2.2.2.4 Nat11 add 10.1.10.22 2.2.2.5 Nat11 add 10.1.20.27 2.2.2.6 Nat11 add 10.1.20.33 2.2.2.7 If1 10.1.10.1 If0 2.2.2.1
Natn1ห้องสมุดไป่ตู้add 10.1.10.0/24 2.2.2.3 Natn1 add 10.1.20.8/32 2.2.2.3 Natn1 add 10.1.20.9/32 2.2.2.3
• 动态地址转换是多(或1)对1的转换,将内部或 动态地址转换是多( 的转换, ) 的转换 将内部或DMZ的地址转换成外网地址 的地址转换成外网地址 • 允许将内网或 允许将内网或DMZ多个网段内的地址转换成同一个外网地址 多个网段内的地址转换成同一个外网地址 • 允许以转换后的地址出外网访问 • 不允许从外网访问转换后的地址
Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.15 1.30.5.9 5500 80 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.16 1.30.5.9 2600 443 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.15 80 5500 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.16 443 2600
Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.2 3000 23 Source IP | Dest. IP | Source Port| Dest.Port… 1.30.5.9 2.2.2.2 6500 8080 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.2 1.30.5.9 23 3000 Source IP | Dest. IP | Source Port| Dest.Port… 2.2.2.2 1.30.5.9 8080 6500
LinkTrust FireWall V5.1
Chapter 10防火墙的网络地址翻译
目标
NAT的基本概念 NAT的基本概念 动态NAT 动态NAT 静态NAT 静态NAT 端口NAT 端口NAT 端口NAT用做服务器负载均衡 端口NAT用做服务器负载均衡
网络地址翻译
10.1.10.0 255.255.255.0 Private IP’s If1:10.1.10.1 Perimeter If0:2.2.2.1 Router