组网需求

FTP服务器处于DMZ安全区域,所在的网段为10.1.1.0/24,能够被外部用户访问。外部网络处于Untrust安全区域。

需求如下:

  • FTP服务器的内部IP地址为10.1.1.2,对外公布的地址为200.1.1.10,对外使用的端口号为缺省值。

  • FTP服务器上不需要配置到公网IP地址的路由。

    图1 Inbound方向的NAT配置组网图

 

操作步骤

[USG5300] interface GigabitEthernet 0/0/0

[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24

[USG5300] interface GigabitEthernet 0/0/1

[USG5300-GigabitEthernet0/0/1] ip address 200.1.1.1 24

[USG5300] firewall zone dmz

[USG5300-zone-dmz] add interface GigabitEthernet 0/0/0

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

 

[USG5300] nat server global 200.1.1.10 inside 10.1.1.2

[USG5300] nat address-group 1 10.1.1.5 10.1.1.50

[USG5300] policy interzone dmz untrust inbound

[USG5300-policy-interzone-dmz-untrust-inbound] policy 1

[USG5300-policy-interzone-dmz-untrust-inbound-1] policy source 200.1.1.0 0.0.0.255

[USG5300-policy-interzone-dmz-untrust-inbound-1] action permit

 

[USG5300] nat-policy interzone dmz untrust inbound

[USG5300-nat-policy-interzone-dmz-untrust-inbound] policy 1

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] policy source 200.1.1.0 0.0.0.255

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-inbound-1] address-group 1

 

[USG5300] firewall interzone dmz untrust

[USG5300-interzone-dmz-untrust] detect ftp

[USG5300-interzone-dmz-untrust] quit

所谓双向NAT就是在正常的NAT的基础上多了反方向NAT的转换,如:NAT Server,基于公网源地址的NAT转换(如上),域内NAT等都是双向NAT的实例。
在此例中由于服务器没有配置缺省路由(没有配置网关),所以如果公网的数据访问服务器,则服务器无法回应。所以要在USG上配置基于公网地址inbound方向的NAT,将公网数据的源地址转换为和服务器在同网段的私网地址,从而服务器可以对其响应。
之所以服务器没有配置确实路由,是为了服务器的安全性--服务器不会主动向外网发起连接。