JUNIA第五天(NAT)

1.防火墙的接口模式
a.Route模式
基于路由,不会做NAT转换
默认不会做任何的NAT转换
使用基于Policy的NAT转换
默认情况下,除了Trust Zone以外的Zone都是Route Mode
b.Nat模式
当接口属于NAT模式,接口下收到的数据包将做源地址转换(NAPT网络地址端口转换)

查看接口的模式
FW1-> get interface eth2
设置FFilter,查看源10.1.1.1到目地1.1.1.1防火墙流量的处理过程
FW1-> set ffilter src-ip 10.1.1.1 dst-ip 1.1.1.1
FW1-> debug flow basic
FW1-> get db stream

2.基于策略的NAT
a.单向NAT
NAT-Src
NAT-Dst
VIP
b.双向NAT
MIP
3.NAT的应用环境
a.NAT-Src当将私网地址转换成公网地址(需要上网的时候)
b.NAT-Dst将把一些主机的服务映射到公网时,但这些主机将不能够直接访问互联网
c.VIP将一个公网地址映射到多个私网地址的服务的时候, 但这些主机将不能够直接访问互联网
Public Zone必须为Untrust
d.MIP一对一地址转换,但是是双向的

4.NAT-Src
a.DIP动态地址转换
1.在外网建立一个DIP的地址池
FW1-> set interface eth3 dip 4 1.1.1.10 1.1.1.19
2.建立一个从内网Zone到达外网Zone做NAT的Policy
FW1-> set policy top from home to untrust any any any nat src dip-id 4 permit

b.基于端口的DIP地址转换
FW1-> set interface eth3 dip interface-ip incoming
FW1-> set policy top from home to untrust any any any nat src dip-id permit

c.基于Shift跳变地址的DIP配置(一条命令搞定多跳一对一的静态映射)
建立一个DIP
FW1-> set interface eth3 dip 4 shift-from 10.1.1.2 to 1.1.1.10 1.1.1.19
指定策略
FW1-> set policy top from home to untrust any any any nat src dip-id 4 permit
超出对应的私网地址将不能够进行转换