华为防火墙NAT转换

化为防火墙NAT转换

拓扑如 下

实现使用Easy-IP访问外网
Nat-server外网访问内部服务器ftp服务

1. 配置图中各借口和主机ip掩码都为24
2. 分区域
左边trust 右边untrust
3. 配置安全策略
4. 配置nat策略
nat-policy 编辑策略
rule name 111 名字
source-address 192.168.1.0 24
source-zone trust 配置源区域
destination-zone untrust 配置目的区域

action nat easy-ip

*这里使用的转换方式不用做黑洞路由
如果转换后的公网地址和外网接口不在一个网段要做。
注意这个转换方式路由器不要做路由
那样就会造成使用内网地址出去

路由器做默认路由找外网路由器接口
ip route-static 0.0.0.0 0.0.0.0 202.96.1.2
5. 使用内网主机ping 外网主机
发现不通，查看display cu
发现安全策略没有 action permit*

改回来即可
已经可以通信

防火墙查看会画表（缓存特别快，要再次通信，然后赶紧查看）
display firewall session table

（借）接打错了

6.配置NAT server
7.首先也是安全策略，名字一定不能和上面一样

少打了一条命令
service ftp 这部很重要
8.配置ftp应用层检 测（默认已经开启）

9.配置nat server

nat server nat protocol tcp global 202.96.1.100 21 inside 192.168.1.1
1 21
查看server-map表命令是
display firewall server-map
10.配置ftp

根目录随意写就行
11.验证ftp
外网客户端访问

内网再试一下能不能访问外网 我这里可以 实验完毕! 另外黑洞路由命令如下
Iip route-static nat 地址组地址 32 NULL 0
如果地址组中地址是多个 每个的要打一次