应用环境
Eudemon 不但支持配置隐藏高安全区域中用户或被访问服务器的私有IP 地址的NAT,
即Outbound 方向的NAT,还支持配置隐藏低安全区域或同一安全区域中访问用户的IP
地址:
当位于低安全区域的网络用户访问高安全区域的服务器时,若需要隐藏低安全区域
用户的IP 地址,可配置Inbound 方向的NAT。
当网络用户访问同一安全区域内的服务器时,若需要隐藏其 IP 地址,可配置域内
NAT。
同时配置了内部服务器和 Inbound 方向的NAT,或同时配置了内部服务器和域内NAT,
都可以称为双向NAT。
华为配置双向NAT_第1张图片

需求如下:
FTP 服务器能够被外部用户访问,对外公布的地址为200.1.1.10/24。对外使用的端
口号为缺省值。
同时要求隐藏外部用户访问 FTP 服务器的源IP 地址。

配置Eudemon 基本数据
# 配置Ethernet 0/0/0 的IP 地址。
system-view
[Eudemon] interface Ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.1.1.1 24
[Eudemon-Ethernet0/0/0] quit
# 配置Ethernet 0/0/1 的IP 地址。
[Eudemon] interface Ethernet 0/0/1
[Eudemon-Ethernet0/0/1] ip address 200.1.1.1 24
[Eudemon-Ethernet0/0/1] quit
# 配置Ethernet 0/0/0 加入DMZ 区域。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface Ethernet 0/0/0
[Eudemon-zone-dmz] quit
# 配置Ethernet 0/0/1 加入Untrust 区域
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface Ethernet 0/0/1
[Eudemon-zone-untrust] quit

# 配置内部FTP 服务器。
[Eudemon] nat server protocol tcp global 200.1.1.10 ftp inside10.1.1.2 ftp
配置Inbound 方向的NAT
# 配置ACL 规则。
[Eudemon] acl 2001
[Eudemon-acl-basic-2001] rule 0 permit source 200.1.1.00.0.0.255
[Eudemon-acl-basic-2001] quit
# 配置地址池。
[Eudemon] nat address-group 1 10.1.1.100 10.1.1.110
# 配置DMZ-Untrust 域间包过滤规则。
[Eudemon] firewall interzone dmz untrust
[Eudemon-interzone-dmz-untrust] packet-filter 2001 inbound
# 将ACL 和地址池关联。
[Eudemon-interzone-dmz-untrust] nat inbound 2001 address-group1
[Eudemon-interzone-dmz-untrust] quit