华赛USG 双向NAT

 

组网需求

FTP服务器处于DMZ安全区域，所在的网段为10.1.1.0/24，能够被外部用户访问。外部网络处于Untrust安全区域。

需求如下：

• FTP服务器的内部IP地址为10.1.1.2，对外公布的地址为200.1.1.10，对外使用的端口号为缺省值。

• FTP服务器上不需要配置到公网IP地址的路由。

  图1 Inbound方向的NAT配置组网图

 

操作步骤

[USG5300] interface GigabitEthernet 0/0/0

[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24

[USG5300] interface GigabitEthernet 0/0/1

[USG5300-GigabitEthernet0/0/1] ip address 200.1.1.1 24

[USG5300] firewall zone dmz

[USG5300-zone-dmz] add interface GigabitEthernet 0/0/0

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

 

[USG5300] nat server global 200.1.1.10 inside 10.1.1.2

[USG5300] nat address-group 1 10.1.1.5 10.1.1.50

[USG5300] policy interzone dmz untrust inbound

[USG5300-policy-interzone-dmz-untrust-inbound] policy 1

[USG5300-policy-interzone-dmz-untrust-inbound-1] policy source 200.1.1.0 0.0.0.255

[USG5300-policy-interzone-dmz-untrust-inbound-1] action permit

 

[USG5300] nat-policy interzone dmz untrust inbound

[USG5300-nat-policy-interzone-dmz-untrust-inbound] policy 1

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] policy source 200.1.1.0 0.0.0.255

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] address-group 1

 

[USG5300] firewall interzone dmz untrust

[USG5300-interzone-dmz-untrust] detect ftp

[USG5300-interzone-dmz-untrust] quit

 

    所谓双向NAT就是在正常的NAT的基础上多了反方向NAT的转换，如：NAT Server，基于公网源地址的NAT转换（如上），域内NAT等都是双向NAT的实例。

    在此例中由于服务器没有配置缺省路由（没有配置网关），所以如果公网的数据访问服务器，则服务器无法回应。所以要在USG上配置基于公网地址inbound方向的NAT，将公网数据的源地址转换为和服务器在同网段的私网地址，从而服务器可以对其响应。

    之所以服务器没有配置确实路由，是为了服务器的安全性--服务器不会主动向外网发起连接。