防火墙配置nat hairpin 安全策略问题
- 0关注
- 0收藏,37浏览
问题描述:
目前已经配置成功访问,不理解为啥要配置以下操作
1、21 31 41都需要开启nat hairpin,社区里面都描述只要配服务器21侧就行了
2、安全策略必须配置21允许访问21,只有这样21 31网段才能域名公网访问
3、41网段不知道配置了什么策略 不需要第2条策略也行
4、会话列表 41.201通过公网访问 走的策略是41访问21这条 而不是internet策略
5、nat hairpin的走的安全策略到底是怎么样
组网及组网描述:
防火墙有固定公网出口
office安全域 vlan 31
server安全域 vlan 21
it安全域 vlan41
安全策略
41 和31分别做了允许访问21 和公网
2. 安全策略21→21:当客户端通过公网域名访问服务器时,hairpin流量经服务器域接口转发,源地址为客户端私网(如31网段),目的地址为服务器私网(21网段),需允许客户端所在域(31)→服务器域(21)的策略,若误配为21→21,可能是因地址转换后源地址被错误映射为服务器域地址,需检查NAT策略配置。
3. 41网段无需策略:可能41所在安全域与21域间已有允许所有流量的策略,或41域到21域的策略已包含该访问。
4. 41.201会话走41→21策略:因hairpin流量源为41私网,目的经NAT解析为21私网,匹配41→21的域间策略,而非Internet策略(Internet策略通常是内网→外网)。
5. nat hairpin安全策略逻辑:客户端私网→服务器私网(经hairpin NAT转换后,源为客户端私网,目的为服务器私网),需允许客户端所在域→服务器域的安全策略,而非公网→服务器域的策略。
policy-based-route 1 deny node 5 if-match acl 3999 # policy-based-route 1 permit node 15 if-match acl 3003 apply next-hop 39.174.232.1 # policy-based-route 1 permit node 20 if-match acl 3001 apply output-interface Dialer0 # policy-based-route 1 permit node 30 if-match acl 3002 cl advanced 3001 rule 0 permit ip source object-group 32-caiwu rule 5 permit ip source object-group 31-toubiao rule 10 permit ip source object-group 33-toubiao # acl advanced 3002 rule 0 permit ip # acl advanced 3003 rule 25 permit ip source 192.168.11.0 0.0.0.255 rule 50 permit ip source 192.168.21.0 0.0.0.255 rule 75 permit ip source 192.168.41.0 0.0.0.63 rule 100 permit ip source 192.168.221.0 0.0.0.255 rule 125 permit ip source 192.168.41.226 0 rule 150 permit ip source object-group zhengwu-cloud # acl advanced 3999 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 rule 5 permit ip source 172.16.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 10 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 15 permit ip source 192.168.41.0 0.0.0.63 destination 10.1.1.0 0.0.0.255 是这个策略路由的原因吗
正常只要两个vlanif接口开启hairpin 做好安全策略 允许31访问21 21访问31就可以了吗? 实际目前安全策略是服务器不允许访问31 41
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
正常只要两个vlanif接口开启hairpin 做好安全策略 允许31访问21 21访问31就可以了吗? 实际目前安全策略是服务器不允许访问31 41