• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙配置nat hairpin 安全策略问题

2天前提问
  • 0关注
  • 0收藏,124浏览
粉丝:0人 关注:0人

问题描述:

目前已经配置成功访问,不理解为啥要配置以下操作

1、21 31 41都需要开启nat hairpin,社区里面都描述只要配服务器21侧就行了

2、安全策略必须配置21允许访问21,只有这样21 31网段才能域名公网访问

3、41网段不知道配置了什么策略 不需要第2条策略也行

4、会话列表 41.201通过公网访问 走的策略是41访问21这条 而不是internet策略

5、nat hairpin的走的安全策略到底是怎么样

组网及组网描述:

防火墙有固定公网出口

office安全域 vlan  31

server安全域 vlan 21

it安全域 vlan41 

安全策略

41 和31分别做了允许访问21 和公网

 

最佳答案

已采纳
粉丝:11人 关注:9人

1. nat hairpin开启范围:需在服务器所在安全域(21)及客户端所在安全域(31、41)的接口或域间开启,因hairpin流量需在客户端域进、服务器域出时触发地址转换,仅开服务器域可能无法覆盖跨域客户端流量。
2. 安全策略21→21:当客户端通过公网域名访问服务器时,hairpin流量经服务器域接口转发,源地址为客户端私网(如31网段),目的地址为服务器私网(21网段),需允许客户端所在域(31)→服务器域(21)的策略,若误配为21→21,可能是因地址转换后源地址被错误映射为服务器域地址,需检查NAT策略配置。
3. 41网段无需策略:可能41所在安全域与21域间已有允许所有流量的策略,或41域到21域的策略已包含该访问。
4. 41.201会话走41→21策略:因hairpin流量源为41私网,目的经NAT解析为21私网,匹配41→21的域间策略,而非Internet策略(Internet策略通常是内网→外网)。
5. nat hairpin安全策略逻辑:客户端私网→服务器私网(经hairpin NAT转换后,源为客户端私网,目的为服务器私网),需允许客户端所在域→服务器域的安全策略,而非公网→服务器域的策略。

重新配置过了 需要两端VLANIF开启hairpin 31 41都需要做允许访问21 21访问公网才需要21访问21 答案是对的

无聊的发 发表时间:2天前 更多>>

policy-based-route 1 deny node 5 if-match acl 3999 # policy-based-route 1 permit node 15 if-match acl 3003 apply next-hop 39.174.232.1 # policy-based-route 1 permit node 20 if-match acl 3001 apply output-interface Dialer0 # policy-based-route 1 permit node 30 if-match acl 3002 cl advanced 3001 rule 0 permit ip source object-group 32-caiwu rule 5 permit ip source object-group 31-toubiao rule 10 permit ip source object-group 33-toubiao # acl advanced 3002 rule 0 permit ip # acl advanced 3003 rule 25 permit ip source 192.168.11.0 0.0.0.255 rule 50 permit ip source 192.168.21.0 0.0.0.255 rule 75 permit ip source 192.168.41.0 0.0.0.63 rule 100 permit ip source 192.168.221.0 0.0.0.255 rule 125 permit ip source 192.168.41.226 0 rule 150 permit ip source object-group zhengwu-cloud # acl advanced 3999 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 rule 5 permit ip source 172.16.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 10 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 15 permit ip source 192.168.41.0 0.0.0.63 destination 10.1.1.0 0.0.0.255 是这个策略路由的原因吗

无聊的发 发表时间:2天前

正常只要两个vlanif接口开启hairpin 做好安全策略 允许31访问21 21访问31就可以了吗? 实际目前安全策略是服务器不允许访问31 41

无聊的发 发表时间:2天前

重新配置过了 需要两端VLANIF开启hairpin 31 41都需要做允许访问21 21访问公网才需要21访问21 答案是对的

无聊的发 发表时间:2天前
2 个回答
粉丝:133人 关注:11人

在内网口配置nat hairpin就行


安全策略正常做

试过了 不做21允许访问21 就是访问不通

无聊的发 发表时间:2天前 更多>>

试过了 不做21允许访问21 就是访问不通

无聊的发 发表时间:2天前
粉丝:19人 关注:2人

NAT Hairpin(双向 NAT / 环回 NAT)安全策略完整逻辑拆解

先梳理你的组网

  • 域 21:Server 服务器区(私网服务器,做目的 NAT 映射公网 IP 对外发布)
  • 域 31:Office 办公网段
  • 域 41:IT 运维网段
  • 公网域:Internet
    需求:内网 31/41 电脑用公网域名 / 公网映射 IP访问内网服务器 21 区

一、核心原理:Hairpin 流量路径(决定安全策略匹配规则)

内网终端 (31/41) → 防火墙公网 IP(服务器映射地址)→ Hairpin 转发 → 内网 21 服务器
完整报文两次 NAT 转换:
  1. 源 NAT:内网终端源 IP → 转换成防火墙内网出接口同网段地址(Hairpin 强制源地址转换)
  2. 目的 NAT:公网映射 IP → 转换成服务器真实私网 IP(原有发布服务器目的 NAT)

流量域间走向(关键!)

流量进防火墙:31/41 域 → 公网域
流量出防火墙:公网域 → 21 服务器域
防火墙内部转发不会直接 31→21、41→21,必须经过公网域中转。

二、逐条解答你的 4 个疑问

1. 为什么社区说只给服务器侧 21 开 hairpin,但你 21/31/41 全都开才通?

  • 官方最简方案:仅在 ** 服务器所在接口 / 域(21)** 开启 hairpin,只做目的 NAT 环回;
  • 你的场景失效原因:内网 31、41 属于不同安全域 / 三层接口,部分 H3C 防火墙版本要求发起访问的客户端域接口同时开启 hairpin,否则源 NAT 转换失败、报文丢包;
  • 本质:hairpin 是接口属性,客户端入接口不开,源地址无法被转换成内网中转地址,流量中断。

2. 为什么必须配置「21 域允许访问 21 域」本地域安全策略?

  1. 报文经过两次 NAT 后,转换后的源地址属于公网中转地址(归属公网域),目的是 21 服务器;
  2. 防火墙转发校验:出方向是公网域→21 域,正常公网→21服务器发布策略放行外网;
  3. 但回程报文:服务器 21 回包给中转公网 IP,此时流量是21 域→公网域,部分固件下,同域环回报文会识别为21→21本地域流量;
  4. 缺少local 21 permit 21策略时,服务器回包被本地域拦截,访问不通。

3. 41 网段不用配置「21 允许 21」策略也能通,31 必须配的差异原因

两个网段安全域 / 接口转发模式有区别:
  1. IT 域 41 接口 / 域开启了域内流量默认放行,本地同域报文不校验本地安全策略;
  2. Office 域 31 接口默认域内隔离,服务器 21 回环流量强制匹配21 to 21本地策略;
  3. 也可能是策略优先级差异:41 访问 21 的全域放通策略优先级高于本地域拦截,覆盖了限制。

4. 41 网段用公网域名访问,匹配策略是 41→21,不是互联网上网策略

  • 互联网上网策略适用场景:41 域终端直接访问外网 IP(41→公网域);
  • Hairpin 场景:终端访问公网服务器映射 IP,报文触发目的 NAT,流量被引流内网 21 区;
  • 防火墙匹配逻辑:先匹配目的 NAT,识别目标是内网服务器,不走外网路由,直接匹配内网域间策略 41→21,不会匹配普通上网策略。

三、Hairpin 场景安全策略完整匹配逻辑(重点第 5 问)

1. 去程报文(内网终端→服务器)

源:31/41 内网 IP,目的:服务器公网映射 IP
  1. 入接口属于 31/41 域,先匹配41/31 to 公网域策略,允许访问公网映射 IP;
  2. 触发目的 NAT:目的地址转为服务器私网 IP;
  3. Hairpin 源 NAT:源 IP 转换为防火墙内网中转 IP(公网域地址池);
  4. 出接口属于 21 服务器域,匹配公网域 to 21 域服务器发布策略,放行流量。

2. 回程报文(服务器→内网终端)

源:21 服务器私网 IP,目的:中转公网 IP
  1. 入接口 21 域,出接口公网域;
  2. 匹配两条策略之一:
    • 存在21 to 21本地域放行策略(Office31 网段必须);
    • 域内流量默认放行(IT41 网段无需配置本条);
  3. 反向解除两次 NAT,报文转回终端原始 IP,发回 31/41 域终端。

总结策略匹配规则

  1. 客户端访问校验:客户端域(31/41) → 公网域放通;
  2. 服务器入站校验:公网域 → 服务器域21服务器发布策略;
  3. 服务器回环校验:服务器域21 → 公网域,依赖本地同域 21→21 策略 / 域内默认放行;
  4. 全程不会匹配普通内网互通策略 31→21、41→21,仅当不使用公网 IP、直接私网访问服务器时才匹配这条内网策略。

四、优化建议(不用全接口开 hairpin,简化配置)

  1. 仅在服务器 21 域接口开启nat hairpin enable,客户端 31/41 接口关闭;
  2. 保证两条基础策略:
    • 公网域 → 21 域:放行服务器端口(对外发布);
    • 31/41 域 → 公网域:允许终端访问服务器公网映射 IP;
  3. 关闭服务器域 21 的域内隔离,取消强制21 to 21本地策略;
  4. 区分两种访问模式:
    • 私网 IP 直连服务器:匹配31/41 to 21内网策略;
    • 公网域名 / 映射 IP 访问服务器:走 hairpin,匹配公网域中转策略。

F1000-AK125 是一定要两个VLANIF口都开启hairpin 31 41必须开启 不然就消耗 21-21只针对21网段了

无聊的发 发表时间:2天前 更多>>

F1000-AK125 是一定要两个VLANIF口都开启hairpin 31 41必须开启 不然就消耗 21-21只针对21网段了

无聊的发 发表时间:2天前

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明