cjh NA简介 2022-04-09 此文章访问量 643

华为USG防火墙：私网用户（内网用户）和公网用户使用防火墙的出口公网地址访问内部服务器（双向NAT: 源地址和目的地址同时转换）、域内NAT

FW1_2022.04.09.23时47分37秒.txt

router1_2022.04.09.23时48分20秒.txt

图片.png

（1）基本信息配置（PC1与服务器的FTP搭建省略）

#
interface GigabitEthernet1/0/0
undo shutdown
ip address 100.100.100.100 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.1.254 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#

图片.png

（2）配置策略（实验环境，所以permit any）

图片.png

security-policy
default action permit

（3）配置内网用户访问互联网的源NAT

图片.png

nat-policy

rule name trust-to-internet
description NAT
source-zone trust
destination-zone untrust
action source-nat easy-ip

（4）把内网FTP服务器映射到公网给公网的用户访问

图片.png

nat-policy
rule name FTP-TCP-21
disable
source-zone untrust
destination-address address-set IP100.100.100.100
service ftp
action destination-nat static address-to-port address-group POOL-IP-192.168.1.200 21

或者：

图片.png

nat server ftp-server zone untrust protocol tcp global 100.100.100.100 ftp inside 192.168.1.200 ftp no-reverse

（5）公网用户的电脑使用防火墙的出口公网地址访问内部服务器

telnet 100.100.100.100 21 通，如下图：

图片.png

（6）内网用户直接内部服务器的ip地址，通，如下图：

telnet 192.168.1.200 21

图片.png

（7）内网用户的电脑使用防火墙的出口公网地址访问内部服务器

telnet 100.100.100.100 21 不通，如下图：

图片.png

（8）配置双向NAT(目的地址和源地址同时转换)

图片.png

nat-policy
   rule name snat
       description ip
       source-zone trust
       destination-address address-set IP100.100.100.100
       service ftp
       action source-nat address-group IP192.168.1.254

action destination-nat static port-to-address address-group POOL-IP-192.168.1.200 21

（9）内网用户的电脑使用防火墙的出口公网地址访问内部服务器

telnet 100.100.100.100 21 通，如下图：

图片.png

最终结果：
公网用户的电脑使用防火墙的出口公网地址访问内部服务器（结果：通）
内网用户的电脑直接内部服务器的ip地址（结果：通）
内网用户的电脑使用防火墙的出口公网地址访问内部服务器（结果：通）

注意：如果把内服务器映射到公网的策略（FTP-TCP-21）先匹配了内网到100.100.100.100的流量（如下图，策略FTP-TCP-21的源区域把trust区别也加上了），这时候，内网使用公网ip地址访问内部服务器时，刚下图中的snat策略（双向NAT策略就不生效了，因为没有机会匹配得到了），则内网用户访问失败，即telnet 100.100.100.100 21不通。

图片.png

策略（FTP-TCP-21）的源区域把trust区域去掉或者策略（snat）移到策略（FTP-TCP-21）的前面：

图片.png

内网电脑访问公网ip 100.100.100.100的tcp 21 不通问题分析

没有配置了双向NAT的会话表：display firewall session table

图片.png

PC1网口的抓包.zip

内网PC1通过公网地址访问内网服务器不通时，能过抓包PC1的网口：

图片.png

配置了双向NAT的会话表：display firewall session table

<FW1>display firewall session table
2022-04-10 06:30:49.900
Current Total Sessions : 7
SMB VPN: default --> default 10.12.63.5:138 --> 10.12.255.255:138
NetBios_Name_Service VPN: default --> default 10.12.160.10:137 --> 10.12.255.255:137
NetBios_Name_Service VPN: public --> public 192.168.1.200:137 --> 192.168.1.255:137
SMB VPN: default --> default 10.12.160.10:138 --> 10.12.255.255:138
NetBios_Name_Service VPN: public --> public 192.168.1.100:137 --> 192.168.1.255:137
FTP VPN: public --> public 200.200.200.2:1057 +-> 100.100.100.100:21[192.168.1.200:21]
FTP VPN: public --> public 192.168.1.100:1083[192.168.1.254:2057] +-> 100.100.100.100:21[192.168.1.200:21]
<FW1>
<FW1>

图片.png