在華三防火牆上做端口映射
思路與操作
-
准備好
要先確認防火牆和內部被映射服務器能夠通信 -
策略先行
首先明確源IP來自於哪個區域?這是通常是外網,通常是internet區域;被映射的那台服務器來自於哪個區域?通常是trust區域;
那么就將源是internet區域,目標區域是trust區域的策略放行,當然不能是任意源IP或是任意目的IP,源IP要確定一下,如下所示:
-
端口映射
第二步是就是做端口映射了,這個比較簡單,如下圖所示:
端口映射還有一個問題需要注意,我原本認為放行的區域的internet到local,因為目標端口是防火牆自身的,后來發覺不應該以端口來區域安全域 ,安全域一定得通過源IP和目標IP進行區分,端口映射進行DNAT轉換時,源IP地址沒有變,還是internet區域的,但目標區域因為在pre-routing時就給換了,所以目標區域不是local,而是trust,所以策略放行的話也要放行internet到trust區域。
故障
我遇到過一個很扯淡的事就是當時策略也放行了,端口映射也做對了,但是就是不成功,搞了很久,最后死馬當活馬醫,換一個外網端口原本用4444,后來改在4430就好了,真奇怪,這個做為最后一招。
另外,做端口映射的時候不要用443,80這樣的端口,一旦這樣的端口映射到公網,就容易出問題,很有可能會不成功,這個我做過很多次。
原來是這樣
假如說你有一個公網IP地址是1.1.1.1,想將1.1.1.1的123映射到內網的321,那么在防火牆上應該放行哪個端口呢?
剛開始我認為是放行untrust到trust的123端口,但實際上不是,而是放行321端口,為什么?
想想過程,將數據包從外網口進來之后,在prerouting上進上目標地址轉換(即端口映射),由untrust區域進入到trust區域,這里的旅行應該放行轉換之后的端口,而不是轉換之前的端口。
華三交換機端口鏡像
#查看鏡像組1
dis mirroring-group 1
#新建鏡像組1
mirroring-group 1 local
#配置被監控端口,可配置多個。both代表進出都監控。inbound代表監控入,outbound代表監控出
mirroring-group 1 mirroring-port Ten-GigabitEthernet 1/0/19 both
#配置監控端口,一般該端口直連PC,直接打開wireshark抓取PC網口,就可以抓到上述被監控端口的包
mirroring-group 1 monitor-port Ten-GigabitEthernet 1/0/21