热的 Downloads

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2

TOPIC:

NATed IP issue 10年9个月之前 #34530

在我的职业生涯中,我多次面对这个问题,现在我想对此做一个解释。

关于NATing,我们有连接到防火墙的本地网络,该防火墙还连接了DMZ和Internet。

假设本地IP地址范围为192.168.2.0/24,DMZ为192.168.3.0/24。

DMZ区域中的服务器被NAT到x.x.x.x
问题是,本地网络中的客户端无法ping / telnet / ftp(各种通信)x.x.x.x,而可以通信192.168.3.0/24网络。
我的意思是当本地ip正常时,没有与NATed IP的连接!感谢您的帮助。
永远面对你的恐惧...

Re: NATed IP issue 10年9个月之前 #34534

听起来您还需要在网络内部使用NAT转换规则,以将发往公共IP的请求转换回DMZ上服务器的内部IP地址。

Re: NATed IP issue 10年9个月之前 #34535

Alans,

我对安装有一些疑问。

您提到DMZ中的服务器设置为xxx.xxx.xxx.xxx。这仅应在公共场合发生,作为内部客户端的您应该使用192.168.3.x IP地址访问服务器-对吗?

假设我的假设是正确的,那么在防火墙方面,这肯定看起来像是个难题。这是Cisco ASA还是PIX防火墙?

通常,您不希望NAT用于192.168.2.x(LAN)和192.168.3.x(DMZ)网络之间的通信,而是需要一系列访问列表来限制它们之间的必要通信。

这是实现此目的的示例配置:

为DMZ禁用NAT-->Inside Network
静态(dmz,内部) 192.168.3.0 192.168.3.0 网络掩码 255.255.255.0

DMZ网络访问列表-> LAN
访问列表dmz-in备注== [邮件SRV的ACL] ==
访问列表dmz-in扩展许可ip主机 192.168.3.5 192.168.2.0 255.255.255.0

上面的规则允许来自dmz主机的所有通信 192.168.3.5 到LAN网络-完全没有限制,仅作为示例。

内部网络访问列表
访问列表内注== [DMZ-SRV-DATA的ACL] ==
内置访问列表扩展许可TCP 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0 dmz-data-tcp内部对象组(在此使用对象组-未显示)



每个访问列表都应用于相关的界面。


您可以采取的另一种帮助您找出问题出在哪里的操作是启用登录到PC的权限,运行syslog服务并向ASA / PIX Firewall输入以下命令:


记录启用
日志控制台调试
日志监控调试
记录缓冲调试
日志陷阱调试
记录192.168.2.x内部的主机(您的PC)


这样可以清楚地了解正在发生的情况以及丢弃数据包的位置和原因。

让我们知道进展如何!

祝你好运。
克里斯·帕特塞尼迪斯
创办人兼总编辑
www.Firewall.cx

Re: NATed IP issue 10年9个月之前 #34538

您提到DMZ中的服务器设置为xxx.xxx.xxx.xxx。这仅应在公共场合发生,作为内部客户端的您应该使用192.168.3.x IP地址访问服务器-对吗?


实际上,我们希望能够访问服务器的公共IP xx.xx.xx.xx

我们已经可以使用他们的DMZ IP打他们,但是我们不能使用他们的NATed公共IP打他们。

谢谢克里斯。
永远面对你的恐惧...

Re: NATed IP issue 10年9个月之前 #34541

反正有NAT目标IP吗?
因此,当本地网络中的某人尝试连接到 xx.xx.xx.xx
xx.xx.xx.xx 将更改为DMZ本地IP,然后我们就可以与服务器通信了。
永远面对你的恐惧...

Re: NATed IP issue 10年9个月之前 #34542

  • S0lo
  • S0lo的头像
  • Offline
  • Moderator
  • 主持人
  • Posts: 1577
  • Karma: 3
  • 谢谢收到:7

反正有NAT目标IP吗?
因此,当本地网络中的某人尝试连接到 xx.xx.xx.xx
xx.xx.xx.xx 将更改为DMZ本地IP,然后我们就可以与服务器通信了。


是的,有,假设您使用克里斯提到的ASA或Pix,而不是没有Cisco防火墙。您可以这样做:

[代码:1]静态(dmz,inside)x.x.x.x 192.168.3.x网络掩码 255.255.255.255 [/code:1]

将192.168.3.x替换为服务器的专用IP。此处还假设所有ACL(如果有)均已正确配置。

如果这不起作用,那么外部主机(互联网)可以访问x.x.x.x IP吗?如果不是,那么发布配置将对我们有帮助。
正在学习CCNP ...

阿玛·穆卡达斯(Ammar Muqaddas)
论坛主持人
www.hengshuiwuliu.com
  • 页:
  • 1
  • 2
建立页面的时间:0.116秒

CCENT / CCNA

思科公司 Routers

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec VPN
  • IPSec模式

思科公司 Help

  • 视窗 8 VPN客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置