防火墙地址转换设置无效如何解决

Posted 2023-05-10

网络简图如上，从防火墙分别转发10000、20000、30000端口至服务器A、B、C的3389端口
设置前
内网访问192.168.1.10:3389，成功
内网访问192.168.1.20:3389，成功
内网访问192.168.1.30:3389，成功

设置后
内网访问123.123.123.123:10000，成功
内网访问123.123.123.123:20000，成功
内网访问123.123.123.123:30000，成功

外网访问123.123.123.123:10000，成功
外网访问123.123.123.123:20000，失败
外网访问123.123.123.123:30000，失败

三台服务器硬件相同，服务器A是Server2003系统，服务器B、C是Server2008R2

先排除如下问题：
防火墙中全部加入了3389出入站规则
补充问题：
如何在外网访问服务器B和C？

看你的图，应该是能够访问的，检查一下b和c的路由配置。在服务器b和c上抓包，看看有没有外网的3389数据包进来。 参考技术A 看下B和C的系统防火墙是不是开着，关掉。

iptables防火墙

SNAT策略及应用
应用环境：局域网主机共享单个公网IP地址接入Internet
原理：源地址转换，Source Network Address Translation
          修改数据包的源地址

SNAT策略概述：

（1）局域网共享上网

（2）只开启路由转发，未设置地址转换的情况

（3）开启路由转发，并设置SNAT转换的情况

SNAT策略的应用

前提条件：

局域网各主机正确设置IP地址/子网掩码

局域网各主机正确设置默认网关地址

Linux网关支持IP路由转发

步骤:

（1）打开网关的路由转发

在测试过程中，若只希望临时开启路由转发，也可以执行以下操作：

或者

（2）正确设置SNAT策略

共享动态IP地址上网

在某些情况下，网关的外网IP地址可能并不固定，针对这种需求，iptables命令提供了一个名为MASQUERADE（伪装）的数据包控制类型。

DNAT策略及应用

应用环境：在Internet中发布位于企业局域网内的服务器

原理:目标地址转换，Destination Network Address Translation

        修改数据包的目标地址

DNAT策略概述

在internet中发布内网服务器

进行DNAT转换后的情况

DNAT策略的应用

前提条件：

局域网的web服务器能够访问Internet

网关的外网IP地址有正确的DNS解析记录

Linux网关支持IP路由转发

步骤：

（1）打开网关的路由转发

同上述所说

（2）正确设置DNAT策略

发布时修改目标端口

规则的备份

iptables-save工具

可结合重定向输出保存到指定文件

规则的还原

iptables-restore工具

可结合重定向输入指定规则来源

使用iptables服务

脚本位置：/etc/init.d/iptables

规则配置文件位置：/etc/sysconfig/iptables

保存防火墙规则到配置文件

设置开机自启动

使用service命令控制iptables规则