华为USG防火墙常见NAT配置

nat-policy
 rule name DNAT_HTTP
  source-zone untrust
  destination-address 100.0.0.2 mask 255.255.255.255
  action destination-nat static address-to-address address 192.168.10.100
#这个DNAT结果是地址1对1转换将内网192.168.10.100映射为公网100.0.0.2
 rule name DNAT_FTP
  source-zone untrust
  destination-address 100.0.0.3 mask 255.255.255.255
  service protocol tcp destination-port 10021
  action destination-nat static port-to-port address 192.168.10.100 21
#这个DNAT结果是将内网地址192.168.10.100的21端口映射为公网地址100.0.0.3 的10021端口
 rule name SNAT_1TO1_192.168.10.100
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.100 mask 255.255.255.255
  action source-nat address-group SNAT_192.168.10.100
#这个SNAT结果是将地址池中的地址也就是100.0.0.3这个地址单独映射给192.168.10.100
 rule name Trust_Untrust_Internet_EasyIP
  source-zone trust
  destination-zone untrust
  source-address 192.168.10.0 mask 255.255.255.0
  action source-nat easy-ip
#这个SNAT是EasyIP的方式,也就是将内网192.168.10.0/24的机器映射为公网出口地址

华为防火墙的NAT策略比较常见的使用方法就是上面这些了,以上某些功能还能通过其他配置方式实现,这块华为比较灵活但是看上去配置也比较乱。

发表评论

您的电子邮箱地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据