目的NAT-4.9

目的NAT：一般情况不允许外部网络主动访问内部网络

检查方法：

ping 192.168.1.11
dis firewall session table

 

但是有时也需要外部网络访问内部网络。例如公司将内部资料给客户或出差员工访问

动态目的NAT转换前后的地址不存在固定的映射关系。例如移动终端访问无线网络。

拓扑图：

第一步：配置接口ip

第二步：配置安全区域

第三步：配置安全策略

[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1l destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 172.16.1.10 24
[FW-policy-security-rule-policy1l action permit
[FW-policy-security-rule-policy1] quit

 

第四步：配置目的nat池

[FW1]destination-nat address-group group1
[FW1-dnat-address-group-group1]section 172.16.1.10 172.16.1.11
[FW-address-group-group1] quit

 

第五步：配置nat策略

[FWl nat-policy
[FW-policy-natl rule name policy1
[FW-policy-nat-rule-policy1lsource-zone untrust
[FW-policy-nat-rule-policy1l destination-address range 192.168.1.11 192.168.1.12
[FW-policy-nat-rule-policy1l service http

[FW-policy-nat-rule-policy1l service icmp

[FW-policy-nat-rule-policy1l action destination-nat static address-to-address address-group group? [FW-policy-nat-rule-policy1] quit