nat 控制和豁免
一.nat 控制
防火墙中特别设置的nat 开关
作用: 强制访问必须做nat 配置,增加网络安全
默认禁用nat 控制
如果需要强制要求做nat配置 打开nat 控制
命令: nat-control
二.nat 豁免
在nat 控制开启的情况下 允许特定网段不做nat 也能访问
所用,支持哪些不能应用nat 的服务
特点: nat豁免允许双向通信
命令:
第一步, 先将需要豁免的网段做成acl 列表
access-list abc permit ip 内网网段 host 目标主机地址
第二步,做豁免
nat (inside) 0 access-list abc
举例:
access-list abc permit ip 192.168.2.0 255.255.255.0 host 202.106.0.2
nat (inside) 0 access-list abc
三.防火墙nat 实验
1, 内网网段配置动态pat 将内网 192.168.1.0 网段映射到防火墙外网接口上
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface
2,dmz 区域服务器做静态pat 将 两台服务器对应到一个外网接口的不同端口
static (dmz,outside) tcp 202.106.0.150 80 172.16.0.100 80
static (dmz,outside) tcp 202.106.0.150 23 172.16.0.200 23
access-list abc permit ip any host 202.106.0.150
access-group abc in int outside
3, 开启nat 控制
nat-control
4, 对内网网段192.168.2.0 或豁免 能够发访问外网
access-list bbs permit ip 192.168.2.0 255.255.255.0 host 202.106.0.2
nat (inside) 0 access-list bbs
