思路与操作
-
准备好
要先确认防火墙和内部被映射服务器能够通信 -
策略先行
首先明确源IP来自于哪个区域?这是通常是外网,通常是internet区域;被映射的那台服务器来自于哪个区域?通常是trust区域;
那么就将源是internet区域,目标区域是trust区域的策略放行,当然不能是任意源IP或是任意目的IP,源IP要确定一下,如下所示:
-
端口映射
第二步是就是做端口映射了,这个比较简单,如下图所示:
端口映射还有一个问题需要注意,我原本认为放行的区域的internet到local,因为目标端口是防火墙自身的,后来发觉不应该以端口来区域安全域 ,安全域一定得通过源IP和目标IP进行区分,端口映射进行DNAT转换时,源IP地址没有变,还是internet区域的,但目标区域因为在pre-routing时就给换了,所以目标区域不是local,而是trust,所以策略放行的话也要放行internet到trust区域。
故障
我遇到过一个很扯淡的事就是当时策略也放行了,端口映射也做对了,但是就是不成功,搞了很久,最后死马当活马医,换一个外网端口原本用4444,后来改在4430就好了,真奇怪,这个做为最后一招。
另外,做端口映射的时候不要用443,80这样的端口,一旦这样的端口映射到公网,就容易出问题,很有可能会不成功,这个我做过很多次。
原来是这样
假如说你有一个公网IP地址是1.1.1.1,想将1.1.1.1的123映射到内网的321,那么在防火墙上应该放行哪个端口呢?
刚开始我认为是放行untrust到trust的123端口,但实际上不是,而是放行321端口,为什么?
想想过程,将数据包从外网口进来之后,在prerouting上进上目标地址转换(即端口映射),由untrust区域进入到trust区域,这里的旅行应该放行转换之后的端口,而不是转换之前的端口。
华三交换机端口镜像
#查看镜像组1
dis mirroring-group 1
#新建镜像组1
mirroring-group 1 local
#配置被监控端口,可配置多个。both代表进出都监控。inbound代表监控入,outbound代表监控出
mirroring-group 1 mirroring-port Ten-GigabitEthernet 1/0/19 both
#配置监控端口,一般该端口直连PC,直接打开wireshark抓取PC网口,就可以抓到上述被监控端口的包
mirroring-group 1 monitor-port Ten-GigabitEthernet 1/0/21
