新华三网络教程之器内网用户通过 NAT 地址 访问内网服务器
作者:互联网
实验拓扑图:
实验需求:
ssh测试机在一个局域网内,RT1作为该局域网的网关,具体要求如下:
外网主机可以通过 Router 访问内网 ssh测试机;
内网主机在访问 ssh测试机时,需要通过外网地址访问,从而有效的避免内网服务器受到来自内部网络的攻击。
配置思路:
通过定义 ACL 规则,并将其与 NAT 配置关联,实现只对内网匹配指定的 ACL 规则的报文进行地址转换。
为使外网主机可以通过外网地址访问内网 ssh测试机,需要在外网侧接口配置 NAT 内部服务器功能。
为使内网主机通过外网地址访问内网 ssh测试机,需要在内网侧接口使能 NAT hairpin 功能
配置步骤:
ssh测试机配置
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.0.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port access vlan 2
#
ssh server enable
#
line vty 0 4
authentication-mode scheme
user-role network-admin
user-role network-operator
#
local-user admin class manage
password simple 123456
service-type ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
RT1配置
#
acl basic 2000
rule 0 permit source 192.168.0.0 0.0.0.255
#
interface GigabitEthernet0/1
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet0/2
ip address 10.0.0.1 255.255.255.0
nat outbound 2000
nat server global 10.0.0.1 inside 192.168.0.2
nat hairpin enable
#
ip route-static 0.0.0.0 0 10.0.0.2
#
ISP配置
#
interface GigabitEthernet0/0
ip address 10.0.0.2 255.255.255.0
#
interface GigabitEthernet0/1
ip address 172.16.1.1 255.255.255.0
#
公网配置
#
interface GigabitEthernet0/0
ip address 192.16.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 172.16.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 172.16.1.1
#
转自:林三岁网络安全实验室
转载请注明出处:https://bbs.linsansui.cn/thread-12-1-1.html
标签:ip,之器,255.255,网络教程,ssh,address,interface,255.0,内网 来源: https://blog.csdn.net/weixin_44255593/article/details/112758921