stepan server-nat
stepan server-natserver-NAT配置。
这个NAT做的时候,一定要注意源数据包。
源区域肯定是untrust访问,untrust访问到trust区域中的一台服务器对吧,这个untrust 到trust区域这个是安全策略需要这么定义流量。但是对于NAT转换不能这么定义,因为untrust的主机不是直接访问到trust内部服务器的ip地址 。
而是untrust主机访问到防火墙untrust接口ip地址,然后untrust接口的ip地址,再通nat转换到内部的turst服务器。
所以配置NAT时候,应该是untrust所有电脑直接访问的目标区域是Untrust这个接口,这个接口是untrust接口ehternet1/1。服务选择any。源选择untrust任何源地址。目标地址就是untrust接口ip地址是218.94.119.158。
转换后,也就是所有untrust主机访问到untrust接口的ip地址 都转换成内部的主机ip地址192.168.10.250.
然后Server-NAT就配置完成了。
二、配置安全策略
这时的安全策略就应该是untrust区域访问到trust区域了。
源是untrust。
目标是trust.
操作选择允许。
这里有一个特别强大的功能就是在会话开始时刻录,还是在傣族结束时记录。
在会话开始时记录日志,就是只要有会话建立就会有日志形成。可以判断很多问题。
点击确定。
配置完成后,可以在监控中,看到会话日志。源untrust地址是45.113.1.98 natip:45.113.1.98.
目标是218.94.119.158,nat ip:192.168.2.250。
端口都可以正常被外网访问到。
提醒一点的是,电信运营商是把80端口和443端口是封掉的。就算你映射也就不通的。
页:
[1]