H3C-防火墙内网用户通过公网地址访问服务器(华三)

我恨路由交换! 2024-06-29 17:07:02 阅读 77

1.配置需求

防火墙部署在互联网出口,内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口,并且外网用户访问对应服务正常,目前需要实现内网用户也能通过公网地址去访问内部服务器的需求

2.组网图

3.配置步骤(FW)

3.1配置内部服务器映射(端口映射)

[FW]int g1/0/4 

[FW-GigabitEthernet1/0/4]ip add 172.16.100.1 24

[FW]int g1/0/1 

[FW-GigabitEthernet1/0/1]ip add 202.1.1.100 29

[FW-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 

192.168.1.88 8081 #运营商提供的公网地址,掩码,配置映射,映射端口8081,服务器地址

[FW]int g1/0/4

[FW-GigabitEthernet1/0/4]nat hairpin enable #填写内网网关地址以及配置Nat Hairpin

备注:Nat Hairpin功能简介:通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。

3.2配置策略

[FW]object-group ip address OA        #地址对象组名称为OA

[FW-obj-grp-ip-OA]network host address 192.168.1.88

[FW]object-group service 8081            #服务对象组名称为8081,目的端口8081

[FW-obj-grp-service-8081]service tcp destination eq 8081

[FW]object-policy ip OA                        #ipv对象策略放通目的地址

[FW-object-policy-ip-OA]rule 0 pass destination-ip OA service 8081

[FW]zone-pair security source untrust destination trust         

[FW-zone-pair-security-Untrust-Trust]object-policy apply ip OA      #应用创建的ipv4对象策略

[FW]object-policy ip hutong         #策略名称为互通,规则为允许

[FW-object-policy-ip-hutong]rule pass 

[FW]zone-pair security source trust destination trust

[FW-zone-pair-security-Trust-Trust]object-policy apply ip hutong        #放通内网到内部服务器的访问数据



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。