防火墙Nat server场合下内网如何通过Nat server公网地址访问对应服务器

发布时间:  2014-09-11 浏览次数:  524 下载次数:  0
问题描述
xyz单位对外发布的网站域名为www.xyz.com,在外网解析该域名对应的IP为200.1.1.3,xyz单位的需求是内网和Internet用户都能够通过该域名访问内网服务器11.1.1.2。请问在防火墙上需要做哪些配置,并且给出两种实现该需求的相关配置命令。
告警信息
处理过程
方法1:配置DNS nat alg
     内网用户在使用域名访问内部服务器,在解析域名时,通过DNS nat alg将DNS解析答复报文中的公网IP转换成nat server对应的私网IP,这样内网用户通过域名访问的时候,实际上可以直接通过私网进行访问 在全局模式下配置,nat alg enable dns,该配置为默认配置

方法2:在内网trust域内配置域内nat
     ##acl配置##
     acl number 3002
     rule 5 permit ip source 11.1.1.0 0.0.0.255
     rule 10 deny ip
     ##nat address group配置##
    nat address-group 9 11.1.1.1 11.1.1.1  **只要是转换成防火墙上的IP均可**
    ##域间规则配置##
    firewall zone trust
    nat 3002 address-group 9
根因
理解防火墙处理流程进行分析
建议与总结
在处理问题时,尤其NAT Server为常见难点,注意处理流程分析透彻

END