Tải bản đầy đủ (.pdf) (6 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Firewall Builder: Cấu hình nguồn và đích NAT pps

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (245.27 KB, 6 trang )

Firewall Builder: Cấu hình nguồn và đích NAT
Cách cách cấu hình NAT cho cả địa chỉ IP nguồn
và đích.
Firewall Builder là ứng dụng giao diện đồ họa cho
phép cấu hình và quản lý tường lửa, hỗ trợ Linux
iptables, pf BSD, Cisco ASA / PIX, danh sách truy
cập router Cisco, Bạn có thể vào trang
để tìm hiểu thêm các nền
tảng được hỗ trợ.

Kiểu cấu hình NAT này hữu dụng cho hầu hết các kết
nối. Thực tế, có nhiều trường hợp yêu cầu bắt buộc
phải kết nối NAT cả hai đầu. Dưới đây là mô hình
máy chủ cần truy cập từ ngoài thông qua Remote
Desktop Protocol (RDP).

Điểm phức tạp trong mô hình này thực tế là luồng
thông tin mặc định tới máy chủ ký hiệu ms-server-1
chuyển hướng tới rtr-1 thay vì fw-2. Nếu người dùng
thông qua Internet truy cập ms-server-1, tường
lửa fw-2 được cấu hình đích là NAT sẽ chuyển luồng
thông tin từ giao diện eth0 đến cổng 3389 (RDP) trên
ms-server-1.
Lúc này, máy chủ ms-server-1 sẽ phản hồi cho rtr-1
do luồng mặc định và kết nối từ xa không được thiết
lập.
Cách giải quyết là cấu hình fw-2 NAT cả hai đầu
đích và nguồn. Bằng cách chỉnh nguồn IP thành địa
chỉ eth1 trong của fw-2, gói thông tin do máy chủ
ms-server-1 trả về cho kết nối RDP sẽ được chuyển
trực tiếp cho fw-2 và kết nối truy cập từ xa sẽ hoạt


động.


Các quy tắc NAT được tạo sử dung các đối tượng từ
Standard Library. Quy tắc NAT sau khi cấu hình
NAT hai chiều sẽ như sau:


Ghi chú: Original Src sẽ được đặt là Any, cho phép
nhận địa chỉ IP của máy PC bất kỳ trên Internet. Để
truy cập ms-server-1 thông qua RDP, máy tính truy
cập từ xa sẽ truy cập mặt ngoài fw-2 qua cổng 4080.
Firewall Builder biên dịch dữ liệu xuất ra trên tường
lửa iptables như sau:
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d
192.0.2.2 dport 4080 -j DNAT \
to-destination 192.168.1.25:3389
$IPTABLES -t nat -A POSTROUTING -o eth1 -p tcp
-m tcp -d 192.168.1.25 \
dport 3389 -j SNAT to-source 192.168.1.3
Sau khi quy tắc NAT được cài đặt trên tường lửa,
luồng dữ liệu qua cổng 4080 ở mặt ngoài fw-2 sẽ
được xử lý như hình sau:


Ghi chú: Các cổng nguồn trong ví dụ trên được tạo
ngẫu nhiên bởi kết nối TCP từ hệ thống nguồn.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×