NAT server 将局域网服务器端口映射出来
NAT server 将局域网服务器端口映射出来内网测试
局域网可以正常访问
3、DMZ服务器ping DMZ local IP 192.168.30.1发现无法ping通,因为DMZ到local的安全策略没有创建,创建DMZ到Local。可以发现ftp服务器可以ping通192.168.30.1
4、trust访问DMZ local地址,但是无法访问DMZ服务器。
创建trust到DMZ允许策略
trust局域网的电脑也可以正常访问到FTP服务器。
5、外网配置
将FTP服务器放到DMZ区域。
使用防火墙ping FTP服务器,发现不通。
那是因为没有安全策略Local-DMZ策略。创建此策略。
现在就可以ping通了。
然后进行FTP外网映射。
一、配置各接口IP地址,trust untrust dmz 区域IP地址。(已配置完成)
二、使用Easy IP方式,将设备外网侧接口的IP地址直接作为内网服务器的外网地址。
刚开始NAT内部服务器配置接口的时候 ,这个接口是Untrust外网公网IP接口,而不是DMZ连接的防火墙接口。
这一部的NAT内部服务器映射配置完成后,使用PC从外网访问,Untrust接口IP地址的FTP服务,查看是否可以正常访问。
查看当前IP地址,是防火墙的外网Untrst一个网段的地址。
使用telnet命令查看映射是否成功。发现连接失败,那是什么原因呢?当然是我们还没有做Untrust到DMZ允许放行的策略服务。
三 、创建安全策略。ntrust到DMZ允许放行的策略
再次测试PC可以正常通过外网访问到FTP服务器的21端口
使用外网IP地址访问服务器 FTP://192.168.20.252 ,可以正常访问。
可以正常访问到内部的FTP服务器。
此时有个需求,如果将局域网中的trust到DMZ安全策略禁用,使用trust区域电脑无法通过Trust直接访问DMZ中的服务器,那Trust中的服务器,只能通过Untrust接口映射访问到FTP服务器。
在trust中的电脑去telnet 外网192.168.20.252的服务器FTP服务,无法访问。如果直接访问DMZ服务器,也是无法访问到192.168.30.250 的FTP服务。
那现在如何通过Trust中的电脑,可以通过 外网192.168.20.252来访问FTP服务器。那就需要在Trust接口上开通Nat Haripin。NAT Haripin需要和NAT Server和NAT出方向地址转换配合使用。
NAT Server已经配置完成,下面来配置NAT出方向地址转换。
配置NAT出方向动态转换:将内网访问外网报文的源地址替换为一个外网地址。
在内网侧接口上开启Nat Harpin功能,使用得内网PC可以通过外网IP地址访问内网服务器。
新建NAT地址组,配置外网公网IP地址。或者是和外网有多个IP地址,在同一网段的公网IP地址。
验证配置结果。
当开始Nat Harpin,开在GE1/0/1trust接口上,发现无法进行访问。
将GE1/0/4 接口是DMZ FTP服务器的接口也开启NatHaripin发现,trust中的PC可以通过外网Utrust访问到DMZ服务器中的FTP服务。。
可以正常打开Ftp内容。
--------------------------------------------------------------------------------------------------------------------------------------------
页:
[1]