关于私网IP通过公网IP或域名访问私网资源的问题

新人帖[复制链接]
发表于 : 2019-10-1 19:01:52 最新回复:2019-11-25 21:14:26
558 9
我的设备是防火墙USG6300,三层交换机S5720s
网络拓扑描述如下:
防火墙:公网50.11.5.11,接口在安全区域untrust,私网10.11.1.1,连接三层交换机,接口在安全区域trust
三层交换机分了四个VLAN,分别是10.11.2.0~5.0,其中10.11.4.0段放了几台应用服务器

现在因业务需求,要把其中一台10.11.4.4映射到外网,做域名解析,提供给内部用户和外部客户使用
防火墙做了映射后,在外网通过域名和外网IP都可以正常访问,但是内网只能用10.11.4.4访问

官方文档说明,要把应用服务器10.11.4.4所在地址的网关10.11.4.1放到DMZ区域,然后做源NAT策略,使10.11.2.0~5.0的所有用户访问域名或外网IP时,通过NAT转换到应用服务器


现在的问题是,我所有的安全策略都是配的trust区域,如果把防火墙私网接口改成DMZ,意味着所有策略都要调整。

如果做源NAT策略时,源安全区域和目的区域都选trust,源地址选10.11.0.0,通过NAT地址池转换50.11.5.11到10.11.4.4,是否可行?有没有什么风险?

哪位大佬给个解答,没有E币了,无法提问,抱歉。

  • x
  • 常规:

点评 回复

跳转到指定楼层
liu_jiayou
liu_jiayou  新锐 发表于 2019-10-3 10:27:19 已赞(1) 赞(1)

没关系的,做一条源安全区域trust 源地址用户所在安全区域,目的安全区域trust目的地址服务器所在地址段,出接口地址转换。就好了。域内双向NAT。
  • x
  • 常规:

点评 回复

Technical Support
哇哈哈嘿嘿
哇哈哈嘿嘿  精英 发表于 2019-10-7 08:46:38 已赞(0) 赞(0)

在防火墙内网接口做一条nat server就可以了。
nat server protocol tcp global current-interface 端口号 inside 服务器IP 端口号
  • x
  • 常规:

点评 回复

随便看看吧
随便看看吧   发表于 2019-10-8 10:13:41 已赞(0) 赞(0)

问题解决,感谢两位热心网友,谢谢。关于私网IP通过公网IP或域名访问私网资源的问题-3076445-1
  • x
  • 常规:

点评 回复

宏宇有毒
宏宇有毒   发表于 2019-10-9 17:21:52 已赞(0) 赞(0)

nat server
  • x
  • 常规:

点评 回复

daveji
daveji   发表于 2019-10-15 09:47:06 已赞(0) 赞(0)

我来说下原因吧,内网to公网,可以直接走默认路由出防火墙,但是楼主的情况是内网to防火墙里的地址池,这个流量是匹配不到默认路由的,所以匹配不到出口nat,只能在防火墙内部,也匹配不到公网接口的服务器映射的nat,一个流量想要成功转发通讯,必须匹配到准确路由,也就是说,内网to服务器的这个流量最后必须要到达服务器侧,这个时候只能在内网进口处做个nat,也就是映射,把对应公网地址映射成服务器内网地址,流量进防火墙之后就可以正确的匹配到指向服务器侧的路由,完成流量转发
  • x
  • 常规:

点评 回复

daveji
daveji   发表于 2019-10-15 10:15:38 已赞(0) 赞(0)

daveji 发表于 2019-10-15 09:47 我来说下原因吧,内网to公网,可以直接走默认路由出防火墙,但是楼主的情况是内网to防火墙里的地址池,这个 ...
另外,当包从服务器侧回来的时候,正常trust区和dmz区如果分开的话,包直接匹配之前在内网口配的映射就可以完成,公网服务器地址到内网主机的应答,但楼主的情况不一样,服务器与内网主机都在一起,这就导致,服务器在回包时会直接从内测交换机回过来,这样内网主机会莫名奇妙的收到一个内网ip发来的包,因为之前主机通讯目标是一个公网ip,所以这个包主机无法识别,怎么办呢,必须让服务器内网ip回的包要经过nat变成公网ip,这个时候就需要匹配一条策略,让回来的流量一定经过之前配置的nat映射口,最简单的办法,那就是让服务器和防火墙上的ip通讯或者和防火墙的地址池通讯,也就是内网主机在向服务器发包时,为了避免服务器私底下给主机回包,把内网主机ip转换成防火墙上的接口地址或者地址池中的地址,这样,服务器回包就必须经过防火墙,也就必须经过之前配的nat映射,成功用公网ip给内网主机回包,当然,在做内网主机ip地址nat的时候必须要acl策略,只有访问服务器的流量才转换,访问外面的流量要放行到防火墙外部出口才能nat,说的有点多,其实主要是为了一些初学的朋友容易理解点
  • x
  • 常规:

点评 回复

宏宇有毒
宏宇有毒   发表于 2019-10-28 16:40:33 已赞(0) 赞(0)

手册里有 nat server的做法
  • x
  • 常规:

点评 回复

随便取个名
随便取个名   发表于 2019-11-19 22:08:18 已赞(0) 赞(0)

daveji 发表于 2019-10-15 10:15 另外,当包从服务器侧回来的时候,正常trust区和dmz区如果分开的话,包直接匹配之前在内网口配的映射就可 ...
USG6300 V500R005C00SPC200版本,内网接口和vlanif上做NAT server的指令都没有。。。。。。,只有全局的NAT server
  • x
  • 常规:

点评 回复

卿哥哥V58
卿哥哥V58   发表于 2019-11-25 21:14:26 已赞(0) 赞(0)

做一个域间NAT
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录