防火墙地址转换设置无效如何解决

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙地址转换设置无效如何解决相关的知识,希望对你有一定的参考价值。

网络简图如上,从防火墙分别转发10000、20000、30000端口至服务器A、B、C的3389端口
设置前
内网访问192.168.1.10:3389,成功
内网访问192.168.1.20:3389,成功
内网访问192.168.1.30:3389,成功

设置后
内网访问123.123.123.123:10000,成功
内网访问123.123.123.123:20000,成功
内网访问123.123.123.123:30000,成功

外网访问123.123.123.123:10000,成功
外网访问123.123.123.123:20000,失败
外网访问123.123.123.123:30000,失败

三台服务器硬件相同,服务器A是Server2003系统,服务器B、C是Server2008R2

先排除如下问题:
防火墙中全部加入了3389出入站规则
补充问题:
如何在外网访问服务器B和C?

看你的图,应该是能够访问的,检查一下b和c的路由配置。在服务器b和c上抓包,看看有没有外网的3389数据包进来。 参考技术A 看下B和C的系统防火墙是不是开着,关掉。

iptables防火墙

SNAT策略及应用
应用环境:局域网主机共享单个公网IP地址接入Internet
原理:源地址转换,Source Network Address Translation
          修改数据包的源地址

SNAT策略概述:

(1)局域网共享上网

技术分享图片

(2)只开启路由转发,未设置地址转换的情况

技术分享图片

(3)开启路由转发,并设置SNAT转换的情况

技术分享图片

SNAT策略的应用

前提条件:

局域网各主机正确设置IP地址/子网掩码

局域网各主机正确设置默认网关地址

Linux网关支持IP路由转发

步骤:

(1)打开网关的路由转发

技术分享图片

技术分享图片

技术分享图片

在测试过程中,若只希望临时开启路由转发,也可以执行以下操作:

技术分享图片

或者

技术分享图片

(2)正确设置SNAT策略

技术分享图片

共享动态IP地址上网

在某些情况下,网关的外网IP地址可能并不固定,针对这种需求,iptables命令提供了一个名为MASQUERADE(伪装)的数据包控制类型。

技术分享图片

DNAT策略及应用

应用环境:在Internet中发布位于企业局域网内的服务器

原理:目标地址转换,Destination Network Address Translation

        修改数据包的目标地址

DNAT策略概述

在internet中发布内网服务器

技术分享图片

进行DNAT转换后的情况

技术分享图片

DNAT策略的应用

前提条件:

局域网的web服务器能够访问Internet

网关的外网IP地址有正确的DNS解析记录

Linux网关支持IP路由转发

步骤:

(1)打开网关的路由转发

同上述所说

(2)正确设置DNAT策略

技术分享图片


发布时修改目标端口

技术分享图片

规则的备份

iptables-save工具

技术分享图片

可结合重定向输出保存到指定文件

技术分享图片

规则的还原

iptables-restore工具

可结合重定向输入指定规则来源

技术分享图片

使用iptables服务

脚本位置:/etc/init.d/iptables

规则配置文件位置:/etc/sysconfig/iptables

保存防火墙规则到配置文件

技术分享图片

设置开机自启动

技术分享图片

使用service命令控制iptables规则

技术分享图片

以上是关于防火墙地址转换设置无效如何解决的主要内容,如果未能解决你的问题,请参考以下文章

防火墙之地址转换SNAT DNAT

防火墙如何支持网络地址转换?

防火墙NAT策略

iptables防火墙

浅谈华为防火墙NAT策略

Linux防火墙设置