华为USG5500防火墙配置NAT

LKAI.2024-11-18 17:28

实验要求:

1. 按照拓扑图部署网络环境,使用USG5500防火墙,将防火墙接口加入相应的区域,添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。

2. 在防火墙上配置easy-ip,使trust区域主机能够访问untrust区域的服务器。

3. 在防火墙配置nat server,使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。

1. 启动设备

2.. 配置IP地址

3. 配置默认路由条目

[SRG]ip route-static 0.0.0.0 0.0.0.0 30.0.0.2

4. 配置HTTP服务器

5. 将防火墙接口加入相应的区域

[SRG]firewall zone trust

[SRG-zone-trust]add interface g0/0/1

[SRG-zone-trust]q

[SRG]firewall zone dmz

[SRG-zone-dmz]add interface g0/0/2

[SRG-zone-dmz]q

[SRG]firewall zone untrust

[SRG-zone-untrust]add interface g0/0/3

[SRG-zone-untrust]q

6. 给防火墙配置trust访问DMZ区域,trust访问untrust区域

[SRG]policy interzone trust dmz outbound

[SRG-policy-interzone-trust-dmz-outbound]policy 1

[SRG-policy-interzone-trust-dmz-outbound-1]policy source 192.168.10.0 mask 24

[SRG-policy-interzone-trust-dmz-outbound-1]action permit

[SRG-policy-interzone-trust-dmz-outbound-1]q

[SRG-policy-interzone-trust-dmz-outbound]q

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1

[SRG-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-policy-interzone-trust-untrust-outbound-1]action permit

[SRG-policy-interzone-trust-untrust-outbound-1]q

[SRG-policy-interzone-trust-untrust-outbound]q

7. 配置防火墙的easy-ip

[SRG]nat-policy interzone trust untrust outbound

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip g0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]q

[SRG-nat-policy-interzone-trust-untrust-outbound]q

8. 配置untrust访问DMZ区域

[SRG]policy interzone untrust dmz inbound

[SRG-policy-interzone-dmz-untrust-inbound]policy 1

[SRG-policy-interzone-dmz-untrust-inbound-1]policy source any

[SRG-policy-interzone-dmz-untrust-inbound-1]policy destination 192.168.20.2 0

[SRG-policy-interzone-dmz-untrust-inbound-1]action permit

[SRG-policy-interzone-dmz-untrust-inbound-1]q

[SRG-policy-interzone-dmz-untrust-inbound]q

9. 设置nat规则

[SRG]nat server protocol tcp global interface g0/0/3 www inside 192.168.20.2 www

验证:

Client1ping 通Server1(192.168.20.2)和访问Server1的HTTP服务

Client1ping 通Server2(40.0.0.2)和访问Server2的HTTP服务

使用Wireshark抓取防火墙G0/0/3接口

分别使用Client1和Client2pingServer2(40.0.0.2),发现地址进行了转换

使用Client3访问DMZ区域的HTTP服务器Server1(192.168.20.2),在访问时使用的是防火墙的G0/0/3接口IP

相关推荐
Robust286 分钟前
鸿蒙中如何实现图片拉伸效果
华为·harmonyos·鸿蒙开发·图片拉伸·.9图效果
北漂IT民工_程序员_ZG11 分钟前
Linux设置静态IP
linux·运维·tcp/ip
cj_eryue13 分钟前
linux设置主机名
linux·运维·服务器
简简单单一天吃六顿22 分钟前
rootfs根文件系统在Linux下制作动态库
linux·服务器·arm开发·iot
AirDroid_cn23 分钟前
投屏软件有没有Linux版本?怎样让两台Linux(远程)相互投屏?
linux·运维·服务器·电脑投屏·远程投屏
五月高高27 分钟前
Linux 实现自动登陆远程机器
linux·运维
不会调制解调的猫1 小时前
笔记|M芯片MAC (arm64) docker上使用 export / import / commit 构建amd64镜像
服务器·笔记·macos·docker·容器
小小不董1 小时前
Oracle OCP认证考试考点详解082系列19
java·运维·服务器·数据库·oracle·dba
꧁薄暮꧂2 小时前
Linux解决 -bash: nc: command not found&-bash: nc: 未找到命令
linux·运维·bash
hummhumm2 小时前
第 17 章 - Go语言 上下文( Context )
java·服务器·网络·后端·python·sql·golang
热门推荐
01Unity中PICO实现 隔空取物 和 接触抓取物体02聊聊 Python 中的同步原语,为什么有了 GIL 还需要同步原语03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04RAG 实践- Ollama+RagFlow 部署本地知识库05玄机平台应急响应—webshell查杀06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07将 HuggingFace 模型转换为 GGUF 及使用 ollama 运行 —— 以 Qwen2-0.5B 为例08文件或文件夹名称中有空格如何批量去除09Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO10AI一键生成短视频