问
F100防火墙,关于端口转换的问题
15小时前提问
- 0关注
- 0收藏,37浏览
zhiliao_Gixe
六段
在H3C F100防火墙(二层工作模式)下实现端口映射(服务器1433端口映射到外网8999端口),需通过NAT配置和安全策略实现,步骤如下:
1. 配置NAT服务器(端口映射)
在防火墙全局配置模式下执行:
[H3C] nat server protocol tcp global 111.123.111.111 8999 inside 192.168.1.10 1433
参数说明:
global:外网公网IP及映射端口(8999);
inside:内网服务器IP及原端口(1433)。
若需UDP协议,将tcp改为udp。
2. 配置安全策略允许外网访问映射端口
允许外网用户通过8999端口访问内网1433端口:
[H3C] security-policy
[H3C-policy-security] rule name Allow_DB_8999
[H3C-policy-security-rule-Allow_DB_8999] source-zone untrust
[H3C-policy-security-rule-Allow_DB_8999] destination-zone trust
[H3C-policy-security-rule-Allow_DB_8999] source-address any
[H3C-policy-security-rule-Allow_DB_8999] destination-address 111.123.111.111 32
[H3C-policy-security-rule-Allow_DB_8999] destination-port range 8999 8999
[H3C-policy-security-rule-Allow_DB_8999] action permit
3. 验证与注意事项
验证命令:
display nat server:查看NAT服务器配置;
display security-policy:确认安全策略生效。
关键说明:
防火墙工作在二层模式时,需确保内外网接口(G03/G02)已正确配置IP地址且三层可达;
若原开放的9100~9200端口需保留,无需修改,新增策略不影响原规则。
补充说明
若需进一步限制访问源IP,可在source-address中指定具体网段(如1.2.3.0 mask 255.255.255.0)。配置完成
1. 配置NAT服务器(端口映射)
在防火墙全局配置模式下执行:
[H3C] nat server protocol tcp global 111.123.111.111 8999 inside 192.168.1.10 1433
参数说明:
global:外网公网IP及映射端口(8999);
inside:内网服务器IP及原端口(1433)。
若需UDP协议,将tcp改为udp。
2. 配置安全策略允许外网访问映射端口
允许外网用户通过8999端口访问内网1433端口:
[H3C] security-policy
[H3C-policy-security] rule name Allow_DB_8999
[H3C-policy-security-rule-Allow_DB_8999] source-zone untrust
[H3C-policy-security-rule-Allow_DB_8999] destination-zone trust
[H3C-policy-security-rule-Allow_DB_8999] source-address any
[H3C-policy-security-rule-Allow_DB_8999] destination-address 111.123.111.111 32
[H3C-policy-security-rule-Allow_DB_8999] destination-port range 8999 8999
[H3C-policy-security-rule-Allow_DB_8999] action permit
3. 验证与注意事项
验证命令:
display nat server:查看NAT服务器配置;
display security-policy:确认安全策略生效。
关键说明:
防火墙工作在二层模式时,需确保内外网接口(G03/G02)已正确配置IP地址且三层可达;
若原开放的9100~9200端口需保留,无需修改,新增策略不影响原规则。
补充说明
若需进一步限制访问源IP,可在source-address中指定具体网段(如1.2.3.0 mask 255.255.255.0)。配置完成
暂无评论
F100 二层模式 外网 8999 转换内网 1433 完整配置
组网梳理
- 防火墙二层透明转发,外网接口 G0/3(公网 IP 111.123.111.111 在运营商设备,防火墙无三层公网地址)
- 内网接口 G0/2,服务器 192.168.1.10,数据库 TCP1433
- 需求:外网访问
111.123.111.111:8999→ 自动转192.168.1.10:1433 - 原有 9100~9200 端口全转发保留,新增 8999 端口转换规则
一、CLI 完整配置(直接复制执行)
1. 安全域基础(二层必划分域)
plaintext
system-view
# 划分内外网安全域
interface GigabitEthernet 0/3
port security-zone untrust
#
interface GigabitEthernet 0/2
port security-zone trust
2. 配置端口转换 NAT Server(核心,二层用出接口代公网 IP)
plaintext
# 进入外网接口G0/3配置nat server,外网端口8999,内网1433
interface GigabitEthernet 0/3
nat server protocol tcp global current-interface 8999 inside 192.168.1.10 1433
# 参数解释:
# global current-interface:借用运营商分配的公网IP 111.123.111.111
# 8999:外网对外访问端口
# 192.168.1.10 1433:内网服务器真实IP+数据库端口
3. 域间安全策略(放行外网访问 8999 转 1433 流量,必须配,否则不通)
plaintext
security-policy ip
# 新建规则允许Untrust外网访问服务器转换后的1433
rule name Allow_DB_8999
source-zone untrust
destination-zone trust
destination-ip host 192.168.1.10
service tcp destination eq 1433
action permit
# 原有9100~9200放行规则保留不用改动
4. 二层透明转发配套(二层模式默认已开启,核对即可)
plaintext
# 确认接口二层模式
interface GigabitEthernet 0/2
port link-type trunk
undo port access vlan
#
interface GigabitEthernet 0/3
port link-type trunk
undo port access vlan
# 全局二层转发无需配置三层IP,仅做安全域与NAT转换
5. 保存配置
plaintext
save force
二、Web 界面配置步骤(可视化操作)
- 登录防火墙 Web 管理页
- 【策略】→【NAT】→【NAT 内部服务器】→新建
- 接口:GigabitEthernet0/3(外网口)
- 协议:TCP
- 外网地址:当前接口 IP
- 外网端口:8999
- 内网地址:192.168.1.10
- 内网端口:1433
- 【策略】→【安全策略】→新建域间策略
- 源安全域:Untrust
- 目的安全域:Trust
- 目的地址:192.168.1.10
- 服务:TCP 1433
- 动作:允许
三、验证 & 排查命令
plaintext
# 查看NAT端口转换规则是否生效
display nat server
# 查看域间安全策略匹配计数
display security-policy ip rule name Allow_DB_8999
# 查看转换后的会话表(外网访问8999生成会话)
display session table destination-ip 192.168.1.10
四、关键注意事项(二层模式特有坑)
- 防火墙是二层,公网 IP 在运营商设备,
global current-interface是唯一适配写法,不能手动填 111.123.111.111; - 安全策略放行内网真实端口 1433,不是外网端口 8999,NAT 转换在策略匹配前完成;
- SQL Server 1433 默认会被扫描,对外隐藏 1433 仅开放 8999 能降低攻击面;
- 若运营商拦截非常规端口 8999,更换其他未封禁端口即可;
- 原有 9100~9200 全转发规则和本条 8999 转换规则互不冲突,同时生效。
五、访问方式
外网客户端连接数据库时填写:
服务器地址:111.123.111.111,端口:8999
防火墙自动转换为 111.123.111.111:8999 <--> 192.168.1.10:1433。暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论