ScreenOS地址转换

目录

1. NAT-src

  1.1 来自DIP池(启用PAT)的NAT-src

  1.2 来自DIP池(禁用PAT)的NAT-src

  1.3 来自DIP池(带有地址变换)的NAT-src

  1.4 来自出口接口IP地址的NAT-src

2. NAT-dst

  2.1 一对一目标地址转换

  2.2 一对多目标地址转换

  2.3 多对一目标地址转换

  2.4 多对多目标地址转换

  2.5 带有端口映射的NAT-dst

3. MIP

  3.1 Untrust区段接口上的MIP

  3.2 从不同区段到达MIP

4. VIP

1. NAT-src

执行NAT-src时,安全设备将初始源IP地址转换成不同的地址,转换地址可以来自DIP池或安全设备的出口接口。若从DIP池中提取转换地址,安全设备可以随机提取或提取明确的地址。

入口接口处于路由或NAT模式时,可使用基于策略的NAT-src,若处于NAT模式,策略级的NAT-src参数将取代接口级的NAT参数。

1.1 来自DIP池(启用PAT)的NAT-src

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface ethernet3 zone untrust
 6 set interface ethernet3 ip 1.1.1.1/24
 7
 8 //DIP
 9 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
10
11 //策略
12 set policy from trust to untrust any any http nat src dip-id 5 permit

1.2 来自DIP池(禁用PAT)的NAT-src

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface ethernet3 zone untrust
 6 set interface ethernet3 ip 1.1.1.1/24
 7
 8 //DIP
 9 set interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port
10
11 //策略
12 set policy from trust to untrust any any e-stock nat src dip-id 6 permit

1.3 来自DIP池(带有地址变换)的NAT-src

可以将源IP地址转换为DIP池中的某个特定地址,甚至可以将一个子网转换为另一个子网,但需要这两个子网是一一对应的。

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface ethernet3 zone untrust
 6 set interface ethernet3 ip 1.1.1.1/24
 7
 8 //DIP
 9 set interface ethernet3 dip 10 shift-from 1.1.1.101 1.1.1.105
10
11 //地址
12 set address trust host1 10.1.1.11/32
13 set address trust host2 10.1.1.12/32
14 set address trust host3 10.1.1.13/32
15 set address trust host3 10.1.1.14/32
16 set address trust host3 10.1.1.15/32
17
18 set group address trust group1 add host1
19 set group address trust group1 add host2
20 set group address trust group1 add host3
21 set group address trust group1 add host4
22 set group address trust group1 add host5
23
24 //策略
25 set policy from trust to untrust group1 any http nat src dip-id 10 permit
26 save

1.4 来自出口接口IP地址的NAT-src

如果只在策略中应用NAT-src而不指定DIP池,安全设备会将IP地址转换成出口接口的地址,此时,安全设备始终应用PAT。

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface3 zone trust
 6 set interface3 ip 1.1.1.1/24
 7
 8 //策略
 9 set policy from trust to untrust any any http nat src permit
10 save

2. NAT-dst

基于策略的NAT-dst、MIP和VIP都会将IP封包包头中的初始目的IP地址转换成不同的地址,基于策略的NAT-dst和VIP还可以启用端口映射。

通过配置策略,可以将一个目标IP地址转换成另一个地址,将一个IP地址范围转换成单个IP地址,或将一个IP地址范围转换成另一个IP地址范围。初始目标地址与转换地址可以是一对一、多对一或多对多关系。

配置NAT-dst地址时,安全设备的路由表中必须同时存在指向封包包头中的初始目标地址和已转换目标地址的路由。安全设备使用初始目标地址执行路由查询,以此来确定出口接口,出口接口给出目标区段,以便安全设备执行策略查询。策略定义了初始目标地址到已转换目标地址的映射。随后,安全设备执行第二次路由查询,确定转发封包的接口,封包必须通过该接口才能到达新的目标地址。

2.1 一对一目标地址转换

 1 //接口
 2 set interface ethernet3 zone untrust
 3 set interface ethernet3 ip 1.1.1.1/24
 4 set interface ethernet2 zone dmz
 5 set interface ethernet2 ip 10.2.1.1/24
 6
 7 //地址
 8 set address dmz oda2 1.2.1.8/32
 9
10 //服务组
11 set group service http-ftp
12 set group service http-ftp add http
13 set group service http-ftp add ftp
14
15 //路由
16 set vrouter trust-vr route 1.2.1.8/32 interface ethernet2
17
18 //策略
19 set policy from untrust to dmz any oda2 http-ftp nat dst ip 10.2.1.8 permit
20 save

2.2 一对多目标地址转换

 1 //接口
 2 set interface ethernet3 zone untrust
 3 set interface ethernet3 ip 1.1.1.1/24
 4 set interface ethernet2 zone dmz
 5 set interface ethernet2 ip 10.2.1.1/24
 6
 7 //地址
 8 set address dmz oda3 1.2.1.8/32
 9
10 //路由
11 set vrouter trust-vr route 1.2.1.8/32 interface ethernet2
12
13 //策略
14 set policy from untrust to dmz any oda3 http nat dst ip 10.2.1.8 permit
15 set policy from untrust to dmz any oda3 ftp nat dst ip 10.2.1.9 permit
16 save

2.3 多对一目标地址转换

 1 //接口
 2 set interface ethernet3 zone untrust
 3 set interface ethernet3 ip 1.1.1.1/24
 4 set interface ethernet2 zone dmz
 5 set interface ethernet2 ip 10.2.1.1/24
 6
 7 //地址
 8 set address dmz oda4 1.2.1.10/32
 9 set address dmz oda5 1.2.1.20/32
10 set group address dmz oda45 add oda4
11 set group address dmz oda45 add oda5
12
13 //路由
14 set vrouter trust-vr route 1.2.1.10/32 interface ethernet2
15 set vrouter trust-vr route 1.2.1.20/32 interface ethernet2
16
17 //策略
18 set policy from untrust to dmz any oda45 http nat dst ip 10.2.1.15 permit
19 save

2.4 多对多目标地址转换

 1 //接口
 2 set interface ethernet3 zone untrust
 3 set interface ethernet3 ip 1.1.1.1/24
 4 set interface ethernet2 zone dmz
 5 set interface ethernet2 ip 10.2.1.1/24
 6
 7 //地址
 8 set address dmz oda6 1.2.1.0/24
 9
10 //路由
11 set vrouter trust-vr route 1.2.1.0/24 interface ethernet2
12
13 //策略
14 set policy from untrust to dmz any oda6 any nat dst ip 10.2.1.1 10.2.1.254 permit
15 save

2.5 带有端口映射的NAT-dst

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface ethernet2 zone dmz
 6 set interface ethernet2 ip 10.2.1.1/24
 7 set interface ethernet3 zone untrust
 8 set interface ethernet3 ip 1.1.1.1/24
 9
10 //地址
11 set address dmz oda7 1.2.1.15/32
12
13 //路由
14 set vrouter trust-vr route 1.2.1.15/32 interface ethernet2
15
16 //策略
17 set policy from trust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200 permit
18 set policy from untrust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200 permit
19 save

3. MIP

MIP是一个静态目标地址转换,是从一个IP地址到另一个IP地址的一对一映射。

无论设置哪个区段接口的MIP,都会在Global区段的通讯簿中生成该MIP的条目。可以将这些MIP地址用作两个区段间策略的目标地址,还可以用作定义全局策略时的目标地址。在策略中引用MIP时,既可以使用Global区段,也可以使用MIP指向的目标区段(以地址形式表示)。

3.1 Untrust区段接口上的MIP

 1 //接口
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet1 nat
 5 set interface ethernet2 zone untrust
 6 set interface ethernet2 ip 1.1.1.1.24
 7
 8 //MIP
 9 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
10
11 //策略
12 set policy from untrust to trust any mip(1.1.1.5) http permit
13 save

3.2 从不同区段到达MIP

 1 //接口和区段
 2 set interface ethernet1 zone trust
 3 set interface ethernet1 ip 10.1.1.1/24
 4 set interface ethernet nat
 5 set interface ethernet2 zone untrust
 6 set interface ethernet2 ip 1.1.1.1/24
 7 set zone name X-net
 8 set interface ethernet3 zone X-net
 9 set interface ethernet3 ip 1.3.3.1/24
10
11 //地址
12 set address untrust "1.1.1.5" 1.1.1.5/32
13
14 //MIP
15 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
16
17 //策略
18 set policy from X-net to untrust any "1.1.1.5" http permit
19 set policy from untrust to trust any mip(1.1.1.5) http permit
20 save

4. VIP

根据TCP或UDP片段包头的目标端口号,虚拟IP(VIP)地址将一个IP地址处接收到的信息流映射到另一个地址。只能在Untrust区段接口上配置VIP。

为Untrust区段中的接口设置VIP将在Global区段通讯簿中生成一条条目。不管接口属于哪个区段,Global区段通讯簿保留所有接口的全部VIP。可以将这些VIP地址用作任意两个区段间策略的目标地址,还可以用作Global策略中的目标地址。

 1 1.配置VIP服务器
 2 //接口
 3 set interface ethernet1 zone trust
 4 set interface ethernet1 ip 10.1.1.1/24
 5 set interface ethernet1 nat
 6 set interface ethernet3 zone untrust
 7 set interface ethernet2 ip 1.1.1.1/24
 8
 9 //VIP
10 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
11
12 //策略
13 set policy from untrust to trust any vip(1.1.1.10) http permit
14 save
15
16
17 2.编辑VIP配置
18 unset interface ethernet3 vip 1.1.1.10 port 80
19 set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10
20 save
21
22
23 3.移除VIP配置
24 unset policy id 5
25 unset interface ethernet3 vip 1.1.1.10
26 save
时间: 2024-10-12 20:40:49

ScreenOS地址转换的相关文章

python将下载地址转换成迅雷和qq旋风的下载地址

迅雷和qq旋风下载,有加速和离线功能,很方面,我是在网上看到的原始地址和迅雷地址,qq旋风地址的转化原理,然后用python+pyqt写了一个客户端 原理: 迅雷: 迅雷下载地址="thunder://"+Base64编码("AA"+"真实地址"+"ZZ") QQ旋风: qqdl="qqdl://"+Base64编码("真实地址") import re import base64 fro

手把手系列:实现Nat地址转换

1.实验目的: 掌握内网中的主机C1连接到Internet时,通过NAT实现私有全局地址转换.   2.实验拓扑: 3.实验步骤: 步骤一:给主机C1和C2配置IP地址.子网掩码和网关.如图: C1: C2: 步骤2:配置路由器R1 0/0/0端口配置如下:这个端口是内网的网关. 由于我们要在R1路由器进行nat地址转换,所以我们要在R1里写入一条规则. 规则如下: 0/0/1端口配置如下:此端口为nat转换端口,所以要写入触发规则的指令. 接着配置静态路由:目标地址为,202.100.100.

linux实现shell命令支持ipv4地址转换

这几天一直都在和IP地址打交道.GDB出来一个变量,就到计算器里面看看二进制,然后每八位的去计算得出IP地址,着实不胜其烦.搜了一下网上的信息,也没有找到类似的工具.可能大家都觉得写这么一个东西太简单了.但是其实,无论是否简单,真正能够产生便利的命令,就都是不错的命令.既然没有现成的可用,那索性就自己写一个.算来也没有几行代码. 说说这个过程的波折吧.这么简单一个程序,写出来各种问题. 1. 地址的整形表示是unsigned int .最初进行地址转换的时候调用的是atoi这个函数.试了很多次,

sockets: DNS库函数的名字与地址转换

########################################################### DNS库函数的名字与地址转换 ###################################################### 通常给出的是数值地址(也就是IP地址),不方便记忆: 域名系统(DNS):用于在主机名字和IP地址之间的映射. /etc/resolv.conf包含本地名字服务器主机的IP地址. 获取名字和地址信息的方法: 1.使用DNS 2.静态主机文件

1.socket编程:socket编程,网络字节序,函数介绍,IP地址转换函数,sockaddr数据结构,网络套接字函数,socket相关函数,TCP server和client

 1  Socket编程 socket这个词可以表示很多概念: 在TCP/IP协议中,"IP地址+TCP或UDP端口号"唯一标识网络通讯中的一个进程,"IP 地址+端口号"就称为socket. 在TCP协议中,建立连接的两个进程各自有一个socket来标识,那么这两个socket组成的socket pair就唯一标识一个连接.socket本身有"插座"的意思,因此用来描述网络连 接的一对一关系. TCP/IP协议最早在BSD UNIX上实现,

字符串-06. IP地址转换

1 /* 2 * Main.c 3 * D6-字符串-06. IP地址转换 4 * Created on: 2014年8月19日 5 *******测试通过******** 6 *转载:http://blog.csdn.net/junjieguo/article/details/7392539 7 */ 8 9 10 #include <stdio.h> 11 12 int bin_dec(int x, int n) //自定义函数将二进制数转换为10进制 13 { 14 if(n == 0)

ARM中MMU地址转换理解

首先,我们要分清ARM CPU上的三个地址:虚拟地址(VA,Virtual Address).变换后的虚拟地址(MVA,Modified Virtual Address).物理地址(PA,Physical Address) 启动MMU后,CPU核对外发出虚拟地址VA,VA被转换为MVA供MMU使用,在这里MVA被转换为PA:最后通过PA读写实际设备 MMU的作用就是负责虚拟地址(virtual address)转化成物理地址(physical address). 32位的CPU的虚拟地址空间达到

字符串-06. IP地址转换(20)

一个IP地址是用四个字节(每个字节8个位)的二进制码组成.请将32位二进制码表示的IP地址转换为十进制格式表示的IP地址输出. 输入格式: 输入在一行中给出32位二进制字符串. 输出格式: 在一行中输出十进制格式的IP地址,其由4个十进制数组成(分别对应4个8位的二进制数),中间用"."分隔开. 输入样例: 11001100100101000001010101110010 输出样例: 204.148.21.114 import java.math.BigInteger; import

名字与地址转换getservbyname 与 getservbyport函数

名字与地址转换getservbyname 与 getservbyport函数 服务也通常靠名字来标志,getservbyname函数用于根据给定名字查找相应服务. #includestruct    servent *getservbyname( const char *servname, const char *protoname );成功:返回servent类型非空指针:失败:空指针:本函数返回非空指针 struct    servent{      char      *s_name;