AI 助理
备案控制台
开发者社区 安全 文章 正文

ASA的twice-nat将互联网访问的源地址转换为内网接口地址测试

2017-11-28 1833
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介:

一.测试拓扑

wKioL1Xztm_z5aokAAEJC0duUpE278.jpg


二.测试思路

  1. 不考虑网络拓扑的合理性,只是考虑网络是否可通

  2. 外网访问内部服务器在防火墙上映射的公网地址不通是因为R1的默认路由指向的不是防火墙,出现了非对称路由问题,导致TCP连接来回路径不一致而会话失败

  3. 如果把外网访问内部服务器的源地址转换为防火墙内网接口地址,则不会出现非对称路由问题


三.基本配置

  1. 路由器Server:

    interface FastEthernet0/0
         ip address 192.168.1.8 255.255.255.0
         no shut
    ip route 0.0.0.0 0.0.0.0 192.168.1.1

  2. 路由器R1:

    interface Ethernet0/0
         ip address 192.168.2.1 255.255.255.0
         no shut!         
    interface Ethernet0/1
         ip address 192.168.3.1 255.255.255.0
         no shut
    interface Ethernet0/2
         ip address 192.168.1.1 255.255.255.0
         no shut!
    ip route 0.0.0.0 0.0.0.0 192.168.3.254

  3. 路由器R2:

    interface Ethernet0/0
     ip address 202.100.2.1 255.255.255.0
         ip nat outside
         no shut

    interface Ethernet0/1
         ip address 192.168.3.254 255.255.255.0
         ip nat inside
         no shut
    ip route 0.0.0.0 0.0.0.0 202.100.2.2
    ip route 192.168.0.0 255.255.0.0 192.168.3.1


    ip nat inside source list PAT interface Ethernet0/0 overload
    ip access-list extended PAT
     permit ip 192.168.0.0 0.0.255.255 any

  4. 防火墙ASA842:

    interface GigabitEthernet0
         nameif Outside
         security-level 0
         ip address 202.100.1.1 255.255.255.0 
    interface GigabitEthernet1
         nameif Inside
         security-level 100
         ip address 192.168.2.254 255.255.255.0 

    route Outside 0.0.0.0 0.0.0.0 202.100.1.2 1
    route Inside 192.168.0.0 255.255.0.0 192.168.2.1 1

  5. 路由器Internet:

    interface Loopback0
         ip address 61.1.1.1 255.255.255.0
    interface FastEthernet0/0
         ip address 202.100.1.2 255.255.255.0
         no shut
    interface FastEthernet0/1
         ip address 202.100.2.2 255.255.255.0
         no shut


四.防火墙twice-nat相关配置

  1. 定义内网服务器对象:

    object network ServerReal
         host 192.168.1.8

  2. 定义内网服务器映射后的公网IP对象:

    object network ServerMap

    host 202.100.1.8

  3. 配置twice-nat:

    转换前-----源地址:any 目标地址:内网服务器映射后的公网IP

    转换后-----源地址:防火墙inside口地址 目标地址:内网服务器实际

    IP nat (Outside,Inside) source dynamic any interface destination static ServerMap ServerReal

  4. 定义防火墙外网口策略:

    access-list Outside extended permit ip any object ServerReal

    ---注意这些是服务器的实际地址,而不是映射后的地址

  5. 应用防火墙外网口策略:

    access-group Outside in interface Outside

  6. 测试:


    Internet#telnet 202.100.1.8
    Trying 202.100.1.8 ... Open


    User Access Verification

    Password: 
    Server>show user
    % Ambiguous command:  "show user"
    Server>show users
        Line       User       Host(s)              Idle       Location
       0 con 0                idle                 00:05:42   
    *  2 vty 0                idle                 00:00:00 192.168.2.254

      Interface    User               Mode         Idle     Peer Address

    Server>q

    [Connection to 202.100.1.8 closed by foreign host]
    Internet#

    -----从公网来的防火墙已经作了源地址转换

    Server#ping 61.1.1.1

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 61.1.1.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 44/80/144 ms

    Server#

    Internet#debug ip icmp 
    ICMP packet debugging is on
    Internet#
    *Aug 22 13:02:57.787: ICMP: echo reply sent, src 61.1.1.1, dst 202.100.2.1
    *Aug 22 13:02:57.967: ICMP: echo reply sent, src 61.1.1.1, dst 202.100.2.1
    *Aug 22 13:02:58.067: ICMP: echo reply sent, src 61.1.1.1, dst 202.100.2.1
    *Aug 22 13:02:58.123: ICMP: echo reply sent, src 61.1.1.1, dst 202.100.2.1
    *Aug 22 13:02:58.127: ICMP: echo reply sent, src 61.1.1.1, dst 202.100.2.1
    Internet#

    ------Server可以正常从R2路由器PAT上公网

五.后记

  1. 多个内网地址,多个公网地址,都是一对一映射情况

    可以按上面格式配置多个映射,并且都是映射到防火墙内网口地址

    object network ServerMap

         host 202.100.1.8

    object network ServerReal
         host 192.168.1.8

    object network R1Map
         host 202.100.1.18

    object network R1Real
         host 192.168.1.1


    nat (Outside,Inside) source dynamic any interface destination static ServerMap ServerReal

    nat (Outside,Inside) source dynamic any interface destination static R1Map R1Real


    access-list Outside extended permit tcp any object ServerReal eq telnet 
    access-list Outside extended permit tcp any object R1Real eq telnet 
    access-group Outside in interface Outside

  2. 多个内网地址,一个公网地址(比如接口地址),都是端口映射情况

    object network ServerReal
         host 192.168.1.8
    object network R1Real
         host 192.168.1.1


    object service telnet
         service tcp destination eq telnet 
    object service ServerMapTelnet2321
         service tcp destination eq 2321 
    object service R1MapTelnet2322
         service tcp destination eq 2322


    nat (Outside,Inside) source dynamic any interface destination static interface ServerReal service ServerMapTelnet2321 telnet
    nat (Outside,Inside) source dynamic any interface destination static interface R1Real service R1MapTelnet2322 telnet


    access-list Outside extended permit tcp any object Serverreal eq telnet 
    access-list Outside extended permit tcp any object R1Real eq telnet 
    access-group Outside in interface Outside


本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1694064,如需转载请自行联系原作者
文章标签:
NAT网关
云防火墙
网络安全
网络协议
网络架构
关键词:
NAT网关地址转换
接口测试
测试接口
测试访问
NAT网关访问
相关实践学习
基于ACK Serverless轻松部署企业级Stable Diffusion
本实验指导您在容器服务Serverless版(以下简称 ACK Serverless )中,通过Knative部署满足企业级弹性需求的Stable Diffusion服务。同时通过对该服务进行压测实验,体验ACK Serverless 弹性能力。
技术小阿哥
目录
相关文章
花开富贵111
|
10月前
|
运维 Devops 测试技术
单元测试问题之什么是测试金字塔
单元测试问题之什么是测试金字塔
花开富贵111
105 0
萝卜丝丸子
|
10月前
|
运维 监控 Serverless
函数计算产品使用问题之如何使用内网地址请求测试环境
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
萝卜丝丸子
82 0
杰哥的技术杂货铺
omni_usdt钱包文件keypoolsize是否持续为100个地址测试
omni_usdt钱包文件keypoolsize是否持续为100个地址测试
杰哥的技术杂货铺
80 0
霍格沃兹测试开发muller老师
|
存储 人工智能 Java
软件测试/人工智能|Python 变量解析:从基础概念到内存地址探究
软件测试/人工智能|Python 变量解析:从基础概念到内存地址探究
霍格沃兹测试开发muller老师
82 0
音视频牛哥
|
编解码 网络协议 应用服务中间件
公网可用的RTMP、RTSP测试地址
好多博客提到的公网可测试的RTSP和RTMP URL大多都不用了,以下是大牛直播SDK(Github)于2021年3月亲测可用的几个URL,有其他可用的URL,也欢迎大家在评论区回复。
音视频牛哥
16154 0
阿冲吧
|
Shell 开发工具
写一个脚本/root/bin/hostping.sh,接受一个主机的IPv4地址做为参数,测试是否可连通。如果能ping通,则提示用户“该IP地址可访问”;如果不可ping通,则提示用户“该IP地址不可访问
写一个脚本/root/bin/hostping.sh,接受一个主机的IPv4地址做为参数,测试是否可连通。如果能ping通,则提示用户“该IP地址可访问”;如果不可ping通,则提示用户“该IP地址不可访问
阿冲吧
157 0
源码星辰
|
安全 网络安全 网络架构
计算机网络地址转换(NAT)
网络地址转换(NAT)允许多个主机共享一个或一组公共IP地址,同时保护内部网络的隐私和安全。NAT通常由路由器或防火墙设备执行,它充当内部网络和外部网络之间的中间人,将内部主机的私有IP地址映射到一个或多个公共IP地址上。
源码星辰
164 0
久绊A
|
12天前
|
网络协议 安全 网络安全
NAT网络地址转换
NAT(网络地址转换)是一种关键的网络技术,通过将内部私有地址转换为外部公网地址,实现多设备共享单一公网IP上网。它不仅解决了IPv4地址不足的问题,还增强了网络安全,隐藏了内部网络结构。NAT主要分为静态NAT、动态NAT和NAPT(网络地址端口转换)三种类型,广泛应用于家庭和企业网络中。然而,NAT也存在对某些应用不友好、增加延迟及与IPv6不兼容等缺点。
久绊A
58 14
土木林森
|
6月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
土木林森
620 2
wljslmz
|
6月前
|
运维 负载均衡 安全
双向NAT:源NAT和NAT Server 结合体,网络工程师必知!
【10月更文挑战第23天】
wljslmz
696 0
双向NAT:源NAT和NAT Server 结合体,网络工程师必知!

热门文章

最新文章

  • 1
    NAT网络地址转换
  • 2
    简易制作MCP服务器并测试
  • 3
    测试工程师要失业?Magnitude:开源AI Agent驱动的端到端测试框架,让Web测试更智能,自动完善测试用例!
  • 4
    2025接口测试全攻略:高并发、安全防护与六大工具实战指南
  • 5
    自然语言生成代码一键搞定!Codex CLI:OpenAI开源终端AI编程助手,代码重构+测试全自动
  • 6
    RunnerGo API 性能测试实战:从问题到解决的全链路剖析
  • 7
    如何使用 Postman 发送和测试 WebSocket
  • 8
    Postman vs. Apifox 用于 API 测试全面对比
  • 9
    利用 RunnerGo 深度探索 API 性能测试:从理论到实践
  • 10
    Burp Suite Professional 2025.4 发布 - Web 应用安全、测试和扫描
  • 1
    探索自动化测试在软件开发中的关键作用
    72
  • 2
    探索软件测试的未来:自动化与AI的融合
    95
  • 3
    软件测试的未来:AI与自动化的融合之路
    79
  • 4
    探索软件测试的未来:AI与自动化的交汇点
    76
  • 5
    探索自动化测试的前沿技术与实践
    174
  • 6
    探索软件测试的未来:自动化与人工智能的融合
    61
  • 7
    探索自动化测试的前沿技术
    167
  • 8
    探索自动化测试的未来:AI与机器学习的融合
    67
  • 9
    淘宝API接口测试全攻略
    189
  • 10
    .NET单元测试使用Bogus或AutoFixture按需填充的几种方式和最佳实践
    137

    • 相关课程

    更多
  • MSE微服务测试最佳实践 - 自动化回归
  • TCP/IP 网络基础

    • 相关电子书

    更多
  • 移动互联网测试到质量的转变
  • 给ITer的技术实战进阶课-阿里CIO学院独家教材(四)
  • F2etest — 多浏览器兼容性测试整体解决方案

    • 相关实验场景

    更多
  • 通过会话管理端口转发功能访问ECS内部服务
  • 快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月