神州数码的防火墙DNAT配置

防火墙DNAT配置

一、实验目的

防火墙上配置了SNAT后，内部用户在访问外网是都隐藏了私网地址，如果防火墙内部有一 

台服务器需要对外网用户开放，此时就必须在防火墙上配置DNAT ，将数据包在防火墙做目的地址转换，让外网用户访问到该服务器。 

二、应用环境

由于公网地址有限，一般在申请线路时，运营商分配给我们的只有一个或几个公网地址。但是内 部服务器设置成私网地址后，需要将私网地址映射到公网。外网用户才可以通过映射后的公网地址访 问到服务器。

映射包括两种：一种为端口映射，只是映射需要的服务器端口；

              一种为IP 映射，将私网地址和公网地址做一对一的映射。 

三、实训拓扑

四、实验要求

 使用外网口 IP 为内网 FTP Server ，并允许外网用户访问该 FTP Server 的服务，使用合法 IP 61.130.130.1为 FTP Server做 IP 端口映射，及使用合法 IP 61.130.130.100为 FTP Server做 IP 映射。

五、配置

本实验是通过web的方式配置，可以通过e0/0接口访问（神州数码的DCFW-1800防火墙默认e0/0的ip地址为192.168.1.1，并开启http、ssh等管理服务）

也可以通过超级终端配置其它的端口来实现web管理如下：

DCFW-1800(config-if-eth0/2)# zone untrust

DCFW-1800(config-if-eth0/2)# ip address 61.130.130.1 255.255.255.0

DCFW-1800(config-if-eth0/2)# 2012-10-24 01:47:22, Event WARNING@NET: interface e

thernet0/2 turn to protocol up

DCFW-1800(config-if-eth0/2)manage http

①　设置添加地址簿

单击确认如下：

②　创建目的NAT （目的地址为外网接口地址）

单击确认如下：

③　放行安全策略允许 untrust 区域用户访问trust 区域 server 的FTP 服务

依次单击“防火墙”>“策略”>“新建”建好如下：

④　在外网测试

假如有另外一个公网ip 为61.130.130.100，外网用户通过访问ftp://61.130.130.100

即可访问内网里的ftp服务。

a. 添加ip 为61.130.130.100的地址簿

b. 修改上面配置好的目的NAT将ipv4.ethernet0/2修改为ftp-gong

c. 放行安全策略允许 untrust 区域用户访问trust 区域 server 的FTP 服务

依次单击“防火墙”>“策略”>“新建”建好如下：

d. 在外网测试

将FTP Server服务器对外网映射的端口为2121

1) 在“对象”下的“服务簿”下自定义一个ftp-ser服务如下。

2) 修改上面配置好的目的NAT将FTP修改为ftp-ser

3) 在外网测试

放行安全策略允许 trust 区域用户访问trust 区域 server 的FTP 服务

依次单击“防火墙”>“策略”>“新建”建好如下：