华为 SRG1200 端口映射功能和转发策略 - displaynick

时间:2024-02-17 19:18:21

公司有需要将部分业务发布到外网,方便在外的业务员使用。目前公司主路由是一台华为SRG1200网关设备,带防火墙和NAT,包过滤功能。

开启NAT,将内网192.168.1.8上的21端口映射到外网地址219.139.x.x的2100端口上。配置如下:

nat  server  0  protocol  tcp  global  interface  Ethernet0/0/0  2100  inside  192.168.1.8  21  no-reverse

 


怀疑是包过滤导致数据包不通。因为公司信息安全要求,阻止了所以访问内部的包。于是添加了一条记录。如下:映射好后,发现通过外网不能访问内网到192.168.1.8上的ftp服务。

acl  number  3000 
rule  5  permit  ip  destination  address-set  219.139.x.x

 

增加完之后,还是不能访问,试了很久,发现将untrust到trust的包过滤关掉之后,就可以访问,加上包过滤就不行,但是基于安全考虑,肯定不能将对内的所以访问都打开,问题肯定还是出在包过滤上,最后试了一下将上面的配置改为

  rule  5  permit  ip  destination  address-set  192.168.1.8

这样才可以访问。

说明包过滤匹配包时,是将NAT转换之后的包进行的匹配,外网访问219.139.X.X:2100的数据包,在经过路由器时,被转换为了目的192.168.1.8:21包。如果包过滤只允许了目的地为219.139.X.X:2100的数据包,那么从外网访问内网192.168.1.8:21的数据包将无法通过。