华为防火墙natserver 双向nat

示例1  配置NAT Inbound+NAT Server

#
 nat address-group 1 10.1.1.20 10.1.1.25  //地址池中的IP为私网IP ，且和server的私网IP同网段
 nat server 0 global 210.1.1.15 inside 10.1.1.3
#
nat-policy interzone dmz untrust inbound
 policy 1
  action source-nat
  policy destination 10.1.1.3 0  //由于防火墙先做NAT Server转换，再做源NAT转换，所以此处的目的IP是NAT Server转换后的IP
  address-group 1
这里NAT Server的配置和以前见过的类似，但是源NAT的配置和以前见过的不一样：以前地址池中配置的都是公网地址，而这次配置的却是私网地址。
我们通过下图再来看一下报文的地址转换过程：PC访问server的流量经过防火墙时，目的地址（server的公网地址）通过NAT Server转换为私网地址，源地址（PC的公网地址）通过NAT Inbound也转换为私网地址，且和server的私网地址同网段，这样就同时转换了报文的源地址和目的地址，即完成了双向NAT转换。当server的回应报文经过防火墙时，再次做双向NAT转换，报文的源地址和目的地址均转换为公网地址。 

 

示例2 域内NAT+NAT Server

如果希望PC像外网用户一样通过公网地址访问server，就要在防火墙上配置NAT Server。

 

[SRG]dis current-configuration | include nat
17:22:46  2019/01/14
 nat address-group 0 10.1.1.20 10.1.1.25
 nat server 0 global 210.1.1.15 inside 10.1.1.3
nat-policy interzone trust untrust inbound
  action source-nat
  policy destination 10.1.1.3 0
nat-policy zone trust
  action source-nat
  policy destination 10.1.1.3 0

client1用210.1.1.15访问服务器 

[SRG]display firewall session table
17:23:47  2019/01/14
 Current Total Sessions : 1
  icmp  VPN:public --> public 10.1.1.4:256[10.1.1.22:2052]-->210.1.1.15:2048[10.
1.1.3:2048]
[SRG]dis	
[SRG]display  fi	
[SRG]display  firewall se	
[SRG]display  firewall se	
[SRG]display  firewall server-map
17:23:54  2019/01/14
 server-map item(s) 
 ------------------------------------------------------------------------------
 Nat Server, any -> 210.1.1.15[10.1.1.3], Zone: ---
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
   VPN: public -> public

 Nat Server Reverse, 10.1.1.3[210.1.1.15] -> any, Zone: ---
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
   VPN: public -> public