需求:公网 1.1.1.1:80 端口NAT到内网 192.168.1.1:80
准备:1.1.1.1 首先需去ISP报备后才能做端口NAT,切记:一定要报备,没报备可能会出现当时通,一段时间后又不通。深受其害,怀疑过设备 怀疑过线路 就是没怀疑ISP扫描
防火墙-对象-服务 新建-名称 描述 自定义-协议TCP 源端口 0-65536 目的端口XX(),名称http端口80系统已定义好
策略-安全策略定义:untrust-trust 源地址;any 目的地址:192.168.1.1 接入 终端 都设置 any -服务定义:http(系统定义好端口80简称http),非http端口可在服务中定义端口。
策略-服务器映射 ;静态映射-安全域(any)-公网地址-(1.1.1.1)-私网地址(192.168.1.1)-(勾选)允许端口转换-协议(tcp)-公网端口80-私网端口80
总结:先定义服务端口-再定义 untrust to trust 策略 ,最后定义 公网端口和内网端口。
做完以上操作已经完成,非本地出口打开 1.1.1.1 直接访问内网192.168.1.1 应用,要实现本地打开公网1.1.1.1地址访问192.168.1.1服务器需加一条策略(适合做域名解析时,局域网访问域名不通)
策略-源NAT-NAT地址池(新建-IP范围1.1.1.1-1.1.1.1)-(勾选)允许端口转换
源NAT-源安全域 -目的安全域(trust to trust) 源地址192.168.1.0/16 目的地址 192.168.1.1 动作允许。 切记-没有trust to trust 策略 内部主机无法解析域名
扩展:内部192.168.1.0/24 通过1,1,1,1 上网
(策略-安全策略)定义:trust to untrust 源地址 192.168.1.0 目的地址 any 动作允许
(策略-源NAT)定义 trust to untrust 源地址 192.168.1.0 目的地址 any 动作 NAT转换 转换后源地址 -接口地址
交流 QQ 89177519
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。