防火墙地址转换设置无效如何解决
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙地址转换设置无效如何解决相关的知识,希望对你有一定的参考价值。
网络简图如上,从防火墙分别转发10000、20000、30000端口至服务器A、B、C的3389端口
设置前
内网访问192.168.1.10:3389,成功
内网访问192.168.1.20:3389,成功
内网访问192.168.1.30:3389,成功
设置后
内网访问123.123.123.123:10000,成功
内网访问123.123.123.123:20000,成功
内网访问123.123.123.123:30000,成功
外网访问123.123.123.123:10000,成功
外网访问123.123.123.123:20000,失败
外网访问123.123.123.123:30000,失败
三台服务器硬件相同,服务器A是Server2003系统,服务器B、C是Server2008R2
先排除如下问题:
防火墙中全部加入了3389出入站规则
补充问题:
如何在外网访问服务器B和C?
iptables防火墙
SNAT策略及应用
应用环境:局域网主机共享单个公网IP地址接入Internet
原理:源地址转换,Source Network Address Translation
修改数据包的源地址
SNAT策略概述:
(1)局域网共享上网
(2)只开启路由转发,未设置地址转换的情况
(3)开启路由转发,并设置SNAT转换的情况
SNAT策略的应用
前提条件:
局域网各主机正确设置IP地址/子网掩码
局域网各主机正确设置默认网关地址
Linux网关支持IP路由转发
步骤:
(1)打开网关的路由转发
在测试过程中,若只希望临时开启路由转发,也可以执行以下操作:
或者
(2)正确设置SNAT策略
共享动态IP地址上网
在某些情况下,网关的外网IP地址可能并不固定,针对这种需求,iptables命令提供了一个名为MASQUERADE(伪装)的数据包控制类型。
DNAT策略及应用
应用环境:在Internet中发布位于企业局域网内的服务器
原理:目标地址转换,Destination Network Address Translation
修改数据包的目标地址
DNAT策略概述
在internet中发布内网服务器
进行DNAT转换后的情况
DNAT策略的应用
前提条件:
局域网的web服务器能够访问Internet
网关的外网IP地址有正确的DNS解析记录
Linux网关支持IP路由转发
步骤:
(1)打开网关的路由转发
同上述所说
(2)正确设置DNAT策略
发布时修改目标端口
规则的备份
iptables-save工具
可结合重定向输出保存到指定文件
规则的还原
iptables-restore工具
可结合重定向输入指定规则来源
使用iptables服务
脚本位置:/etc/init.d/iptables
规则配置文件位置:/etc/sysconfig/iptables
保存防火墙规则到配置文件
设置开机自启动
使用service命令控制iptables规则
以上是关于防火墙地址转换设置无效如何解决的主要内容,如果未能解决你的问题,请参考以下文章