2. 程式人生 > >強叔侃牆 NAT篇 NAT Server 三十二字真言(上篇)_實驗

強叔侃牆 NAT篇 NAT Server 三十二字真言(上篇)_實驗

阿新 發佈:2019-01-06

拓撲結構

 

 

1,VPN配置

採用web方式配置。

FW1配置

 

FW2配置

 

Vpn 協商策略

security-policy
 rule name untrust2local_vpn
  source-zone untrust
  destination-zone local
  source-address 1.1.1.2 32
  destination-address 1.1.1.1 32
  service protocol udp destination-port 500
  service protocol udp source-port 500
  action permit
 rule name local2untrust_vpn
  source-zone local
  destination-zone untrust
  source-address 1.1.1.1 32
  destination-address 1.1.1.2 32
  service protocol udp destination-port 500
  service protocol udp source-port 500
  action permit

 

 Nat Server 

一正一反,出入自如

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80

[FW1]display firewall server-map 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 1.1.1.1:9980[192.168.2.2:80],  Zone:---,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.2.2[1.1.1.1] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

先關閉預設安全策略,用網際網路訪問內網主機,檢視會話表

tcp  VPN: public --> public  ID: c487f663b50b23061df5c21e60d
 Zone: untrust --> trust  TTL: 00:20:00  Left: 00:19:45
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.2.2  MAC: 000c-2924-9304
 <--packets: 1 bytes: 48 --> packets: 254 bytes: 10,176
 1.1.2.2:1047 --> 1.1.1.1:9980[192.168.2.2:80] PolicyName: default

配置untrust到trust的安全策略

rule name accesswebserver
  source-zone untrust
  destination-zone trust
  destination-address 192.168.2.2 32
  service protocol tcp destination-port 80
  action permit

外網主機可以訪問內網伺服器

內網主機訪問internet,NAT策略

rule name internet
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.2.0 24
  action nat easy-ip

——————————————————————————————+++

 

 主機還不能訪問internet,還需要配置trust到untrust安全策略

先關閉預設安全策略,用內網主機訪問外網web服務,檢視會話表

http  VPN: public --> public  ID: c487f663b5125f028635c21e99d
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:19:50
 Interface: GigabitEthernet1/0/1  NextHop: 1.1.1.2  MAC: 00e0-fc04-1b46
 <--packets: 1256 bytes: 50,624 --> packets: 8 bytes: 1,112
 192.168.2.2:53677[1.1.1.1:2049] --> 1.1.2.2:80 PolicyName: default

 配置trust到untrust安全策略,只允許訪問web服務。

 rule name trut2untrust                   
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 24
  service http
  action permit

 

———————————————————————— 

伺服器訪問分部的web伺服器

檢視會話表

 esp  VPN: public --> public  ID: c487f663b4be750539b5c21ec47
 Zone: untrust --> local  TTL: 00:10:00  Left: 00:09:55
 Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000
 <--packets: 0 bytes: 0 --> packets: 1 bytes: 124
 1.1.1.2:0 --> 1.1.1.1:0 PolicyName: default

 新增untrust 到local安全策略,允許esp報文通過

rule name untrust2local
  source-zone untrust
  destination-zone local
  source-address 1.1.1.2 32
  destination-address 1.1.1.1 32
  action permit

 

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80 no-reverse 

[FW1]dis firewall session table
 Current Total Sessions : 13
 http  VPN: public --> public  192.168.2.2:53521[1.1.1.1:53521] --> 10.0.0.2:80

 


 

 

 

相關推薦

NAT NAT Server 真言_實驗

拓撲結構     1,VPN配置 採用web方式配置。 FW1配置   FW2配置   Vpn 協商策略 security-policy rule name untrust2local_vpn

VPN VPN技術簡介

強叔最近正在忙一件比較頭疼的事,那就是為分公司、辦事處、出差人員、合作單位解決訪問公司總部網路資源的問題,同時要求總部對分公司、辦事處訪問Internet進行控制。大家都知道這種情況需要用VPN(Virtual Private Network,虛擬私有網路)技術解決,但

_第5章_GRE L2TP VPN_3

5.5 L2TP NAS-Initiated VPN 上節中我們講過,Client-Initiated VPN 可以讓企業員工像都授權一樣穿越“蟲洞”,來去自如地訪問總部網路。而企業分支機構就沒有幸運,它位一般通過撥號網路接入Internet,面對浩瀚的Internet海洋

_出口選路_策略路由_基於源IP地址的策略路由

FW1為企業出口閘道器,通過不同ISP的兩條鏈路連線到internet,其中經過AR1的鏈路頻寬速率較高,假設為10Mbit/s,經過AR2的鏈路頻寬速率較小,為2Mbit/s。為保證企業管理者訪問Internet的使用者體檢,讓其訪問流量經過AR1鏈路進行轉發,而員工的

collect huawei lan enter tid mod targe target .com https://forum.huawei.com/enterprise/forum.php?mod=collection&action=view&ctid=

【SqlServer系列】淺談SQL Server事務與鎖

架構 tab 要求 允許 ble 1.2 定義 由於 數據庫引擎 一 概述 在數據庫方面,對於非DBA的程序員來說,事務與鎖是一大難點,針對該難點,本篇文章試圖采用圖文的方式來與大家一起探討。 “淺談SQL Server 事務與鎖”這個專題共分

Linux學習筆記iptables filter表案例、 iptables nat表應用

iptables filter表案例、 iptables nat表應用 一、iptables filter表案例需求:將80、20、21端口放行,對22端口指定特定的ip才放行以下為操作方法:vim /usr/local/sbin/iptables.sh //加入如下內容#! /bin/bas

、iptables filter表小案例、iptables nat表應用

iptables小案例 iptables應用 三十二、iptables filter表小案例、iptables nat表應用一、iptables filter表小案例需求:只針對filter表,預設策略INPUT鏈DROP,其他兩個鏈ACCEPT,然後針對192.168.188.0/24開通22端口,

原 SQL Server基礎() VS2015 連線資料庫——進階:資料庫事務

一、簡介 什麼是資料庫事務?假如一個數據有多個表,我們希望刪除A表的A1記錄,那麼B表就會對應地增加對應的B1記錄,從而保證資料的完整性與一致性。 比如: 參考: 二、往AutoLot新增一張CreditRisks表 CreditRisks表將記錄Custome

201806 資料處理 SQL、python、shell 哪家...速度PK

最近在工作中,進行大量的資料處理,使用的是mysql5.7.22,發現當資料量級達到幾十萬之後,SQL執行速度明顯變慢。尤其是當多個表join時,於是就嘗試用python pandas進行資料處理,發現執行速度明顯比SQL執行速度快。於是,決定比較一下千萬資料量級之下,SQL

【MyBatis源碼分析】insert方法、update方法、delete方法處理流程

times database connect 環境 enable clas 它的 java對象 ace 打開一個會話Session 前文分析了MyBatis將配置文件轉換為Java對象的流程,本文開始分析一下insert方法、update方法、delete方法處理的流程,至

編程經常使用設計模式具體解釋--工廠、單例、建造者、原型

-a 裝飾器模式 nds support art 類的繼承 兩個 開放 lose 參考來自:http://zz563143188.iteye.com/blog/1847029 一、設計模式的分類 整體來說設計模式分為三大類: 創建型模式。共五種:工廠方法模式、抽

2017最新PHP經典面試題目匯總

4.0 .net true 服務 一次 模板 混合 符號 組織 原文鏈接:http://www.cnblogs.com/zhyunfe/p/6209097.html 1、雙引號和單引號的區別 雙引號解釋變量,單引號不解釋變量 雙引號裏插入單引號,其中單引號裏如果有變量

Vue.js——組件快速入門

綁定 ram 字符串過濾 技術 dem ava 對象 src get Vue.js——60分鐘組件快速入門(上篇) 組件簡介 組件系統是Vue.js其中一個重要的概念,它提供了一種抽象,讓我們可以使用獨立可復用的小組件來構建大型應用,任意類型的應用界面都可以抽象為一個組件

iOS多線程開發之離不開的GCD

sop 先進先出 調度 事件 實現 說明 優先級 子線程 函數 一、GCD基本概念 GCD 全稱Grand Central Dispatch(大中樞隊列調度),是一套低層API,提供了?種新的方法來進?並發程序編寫。從基本功能上講,GCD有點像NSOperatio

支付網關 | 京東618、雙11用戶支付的核心承載系統

java 支付 雙11 支付網關 618 二零一七年六月二十一日,就是年中大促剛結束的那一天,我午飯時間獨在辦公室裏徘徊,遇見X君,前來問我道,“可曾為這次大促寫了一點什麽沒有?”我說“沒有”。他就正告我,“還是寫一點罷;小夥伴們很想了解支撐起這麽大的用戶支付流量所采用的技術。”「摘要

.net ef core 領域設計代碼轉換

解決 con mage keys $1 服務 結構 刪除 sql 一、前言 .net core 2.0正式版已經發布幾個月了,經過研究,決定把項目轉移過來,新手的話可以先看一些官方介紹 傳送門:https://docs.microsoft.com/zh-cn/do

mysql 第文章~並發導致的從庫延遲問題

efault nbsp 記錄 文章 定位 如果 增刪查改 mysql binlog 一 簡介:今天來聊聊周期性從庫延遲的問題 二 背景:近期每天的指定時間段,收到從庫延遲的報警,然後過一段時間恢復.由於從庫是提供讀服務的,所以需要解決 三 分析思路:

【Spark MLlib速成寶典】模型05決策樹【Decision Tree】Python版

back filter oms sse mlu eval ffffff size red 目錄   決策樹原理   決策樹代碼(Spark Python) 決策樹原理   詳見博文:http://www.cnblogs.com/itmorn/p/79

CLR via C# 讀書筆記-27.計算限制的異步操作

top oid 輔助線 var 思考 read 運行 簡單例子 class 前言 學習這件事情是一個習慣,不能停。。。另外這篇已經看過兩個月過去,但覺得有些事情不總結跟沒做沒啥區別,遂記下此文 1.CLR線程池基礎 2.ThreadPool的簡單使用練習 3.執行上下文 4