HQY 一个和谐有爱的空间

描述：

内网地址：192.168.1.2，内网服务器：192.168.1.254，外网地址：10.0.0.2。

情况：

不开启nat  hairpin，访问流量路径是从192.168.1.2直接走内网访问服务器192.168.1.254。

在端口开启nat hairpin后，路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254，相当于从外网nat接口绕了一圈后再访问192.168.1.254。

这样做的好处就是所有访问服务器的流量都是经过防火墙控制，从而拒绝了来自内部的攻击，防止内鬼。

• 配置ACL 2000，允许对内部网络中192.168.1.0/24网段的报文进行地址转换：

• 命令：acl basic 2000，进入acl 2000配置，网上也有很多说是acl number 2000，可能不同机器不一样，都试下。

• 命令：rule permit source 192.168.1.0 0.0.0.255，根据实际的192.168.x.x的网段来

• 命令：quit，退出

• 在外网口配置Easy IP方式的出方向动态地址转换，使得内网主机访问内网服务器的报文可以使用外网口的IP地址进行源地址转换：

• 命令：interface Dialer0，进入外网口配置

• 命令：nat outbound 2000，设置outbound

• 命令：quit，退出

• 在内网口上开启NAT hairpin功能：

• 命令：interface Vlan-interface1，进入内网口配置

• 命令：nat hairpin enable，开启hairpin

• 命令：quit，退出

• 以上配置完成后，正常来说是可以访问了，不需要重启，但是我的路由并不能，网上查找后又加入了一条命令：security-zone intra-zone default permit

• 如果想删除某个上述命令，则需要用命令：undo xxxx，例如进入内网口配置后命令undo nat hairpin enable来取消开启

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/9616.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~