windos---内部服务器NAT和访问控制列表
2010-05-17 14:39
441 查看
内部服务器[/b]NAT[/b]和访问控制列表[/b][/b]
[align=left]内部服务器[/b][/align]
[align=left]NAT 隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP 服务器。使用NAT 可以灵活地添加内部服务器[/align]
[align=left]访问控制列表的基本步骤[/b]:[/align]
启用防火墙
定义访问控制列表
将访问控制列表应用到接口上
实验目的:[/b]使内网的WWW服务器能被外网的用户所访问。
设备需求:[/b]1台WWW服务器,1台PC,1台QuidWay系列路由器。
配置概述:[/b]将2台PC配置好IP地址,指好网关,在路由器的LAN口上配置IP地址,做好服务器和公有IP的映射关系。
实验中需要的命令:[/b]
nat server protocol tcp global IP www inside IP www[/b]
建立公有IP和私有IP的映射关系
acl number name[/b]
建立访问控制列表
firewall packet-filter 3000 inbound[/b]
在接口上应用访问控制列表
具体配置:[/b]
<Quidway>system-view
进入系统模式
[Quidway]sysname 2811-sy-01
为设备起名
[2811-sy-01]interface Ethernet 0/0
[2811-sy-01-Ethernet0/0]ip address 172.16.0.1 24
[2811-sy-01]interface ethernet 0/1
[2811-sy-01-Ethernet0/1]ip address 202.10.1.1 24
进入接口模式并配置相应的IP地址
[2811-sy-01-Ethernet0/1]nat server protocol tcp global 202.10.1.150 www inside 172.16.0.2 www
做一条公有的IP地址与服务器的私有IP的映射关系
[2811-sy-01]acl number 3000
建立一个扩展访问控制列表
[2811-sy-01-acl-adv-3000]rule permit tcp source any destination 202.10.1.150 0 destination-port eq www
定义一条规则允许所有的外网IP访问内网的端口号是80的服务器
[2811-sy-01-acl-adv-3000]rule deny icmp source any destination any
定义一条规则拒绝所有的外网IP访问内网
[2811-sy-01]firewall enable
开启防火墙
[2811-sy-01]interface ethernet 0/1
[2811-sy-01-Ethernet0/1]firewall packet-filter 3000 inbound
在接口上应用访问控制列表
验证:[/b]
[2811-sy-01]display nat all[/b]
NAT address-group information:
No address-groups have been configured
NAT outbound information:
No interfaces have been configured for NAT
Server in private network information:
Interface:Ethernet0/1, Protocol:6(tcp),
[global] 202.10.1.150: 80(www) [local] 172.16.0.2: 80(www)
NAT aging-time value information:[/b]各种协议没有数据通过时自动断开的时间[/b]
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 60 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
[2811-sy-01]display nat server[/b]
Server in private network information:
Interface:Ethernet0/1, Protocol:6(tcp),
[global] 202.10.1.150: 80(www) [local] 172.16.0.2: 80(www)
查看内部服务器的信息[/b]
我们可以访问内网的WWW[/b]服务器。[/b]本文出自 51CTO.COM技术博客
[align=left]内部服务器[/b][/align]
[align=left]NAT 隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP 服务器。使用NAT 可以灵活地添加内部服务器[/align]
[align=left]访问控制列表的基本步骤[/b]:[/align]
启用防火墙
定义访问控制列表
将访问控制列表应用到接口上
实验目的:[/b]使内网的WWW服务器能被外网的用户所访问。
设备需求:[/b]1台WWW服务器,1台PC,1台QuidWay系列路由器。
配置概述:[/b]将2台PC配置好IP地址,指好网关,在路由器的LAN口上配置IP地址,做好服务器和公有IP的映射关系。
实验中需要的命令:[/b]
nat server protocol tcp global IP www inside IP www[/b]
建立公有IP和私有IP的映射关系
acl number name[/b]
建立访问控制列表
firewall packet-filter 3000 inbound[/b]
在接口上应用访问控制列表
具体配置:[/b]
<Quidway>system-view
进入系统模式
[Quidway]sysname 2811-sy-01
为设备起名
[2811-sy-01]interface Ethernet 0/0
[2811-sy-01-Ethernet0/0]ip address 172.16.0.1 24
[2811-sy-01]interface ethernet 0/1
[2811-sy-01-Ethernet0/1]ip address 202.10.1.1 24
进入接口模式并配置相应的IP地址
[2811-sy-01-Ethernet0/1]nat server protocol tcp global 202.10.1.150 www inside 172.16.0.2 www
做一条公有的IP地址与服务器的私有IP的映射关系
[2811-sy-01]acl number 3000
建立一个扩展访问控制列表
[2811-sy-01-acl-adv-3000]rule permit tcp source any destination 202.10.1.150 0 destination-port eq www
定义一条规则允许所有的外网IP访问内网的端口号是80的服务器
[2811-sy-01-acl-adv-3000]rule deny icmp source any destination any
定义一条规则拒绝所有的外网IP访问内网
[2811-sy-01]firewall enable
开启防火墙
[2811-sy-01]interface ethernet 0/1
[2811-sy-01-Ethernet0/1]firewall packet-filter 3000 inbound
在接口上应用访问控制列表
验证:[/b]
[2811-sy-01]display nat all[/b]
NAT address-group information:
No address-groups have been configured
NAT outbound information:
No interfaces have been configured for NAT
Server in private network information:
Interface:Ethernet0/1, Protocol:6(tcp),
[global] 202.10.1.150: 80(www) [local] 172.16.0.2: 80(www)
NAT aging-time value information:[/b]各种协议没有数据通过时自动断开的时间[/b]
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 60 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
[2811-sy-01]display nat server[/b]
Server in private network information:
Interface:Ethernet0/1, Protocol:6(tcp),
[global] 202.10.1.150: 80(www) [local] 172.16.0.2: 80(www)
查看内部服务器的信息[/b]
我们可以访问内网的WWW[/b]服务器。[/b]本文出自 51CTO.COM技术博客
相关文章推荐
- 内部服务器NAT和访问控制列表
- 内部服务器NAT和访问控制列表
- 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。
- 内网PC通过NAT server公网地址访问内部服务器时TCP三次握手不成功 推荐
- HTTP 错误 401.3 - Unauthorized由于 Web 服务器上此资源的访问控制列表(ACL)解决办法
- 服务器访问控制——基于组网结构前端有防火墙,服务器都在防火墙内,内部使用内网ip的架构
- 单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
- 备-- 单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
- 您未被授权查看该页 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对 Web 服务器上的该资源进行了配置
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- 配置扩展的访问控制列表------允许tcp协议通过出站端口访问服务器和禁止icmp协议通过出站端口访问服务器
- IIS错误信息:HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面
- 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对Web服务器上的该资源进行了配置
- HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- RHEL6.3配置Apache服务器(4) 基于用户的访问控制
- NAT后无法在内网通过外部IP访问内部服务的问题的详细说明
- ICG技术专栏---内部服务器如何提供访问服务
- ASP.NET 必需的访问控制列表 (ACL) --转自MSDN
- H3C--nat,dhcp,内部服务器