端口回流與dns-map 與域內(nèi)NAT回流的概念：端口回流&DNS-map&域內(nèi)NAT組網(wǎng)分析：某企業(yè)內(nèi)部一臺主機建了個WEB 服務(wù)站點端口80，然后在網(wǎng)關(guān)Router 上映射80端口到Web Ser

端口回流與dns-map 與域內(nèi)NAT

回流的概念：

端口回流&DNS-map&域內(nèi)NAT

組網(wǎng)分析：

某企業(yè)內(nèi)部一臺主機建了個WEB 服務(wù)站點端口80，然后在網(wǎng)關(guān)Router 上映射80端口到Web Server的80端口，這樣外網(wǎng)上上就能以公網(wǎng)地址202.38.1.1:80的地址訪問到Web Server的站點了。

但是Host A通過公網(wǎng)地址卻無法訪問服務(wù)器，如果Router 支持端口回流的話那么Host A就可以通過公網(wǎng)地址訪問內(nèi)部服務(wù)器。

原因分析：

如上圖可以很明顯的看出報文①發(fā)送到Router ，Router 根據(jù)NAT 映射將目標(biāo)地址改為10.110.10.1發(fā)送報文②。但是源地址不變?nèi)詾?0.110.10.3。而后Web Server接收報文②后，發(fā)回③報文給Host A。注意此報文發(fā)送沒有經(jīng)過Router 而是直接走二層。所以就導(dǎo)致了一個問題，Host A的請求目標(biāo)為202.38.1.1，但是回應(yīng)的源地址為10.110.10.1。所以導(dǎo)致會話不能建立。(但是ICMP 是可以的，因為ICMP 是基于進(jìn)程號—sequence number)

解決方法：

1) 將Host A和Web Server的地址設(shè)置為不同網(wǎng)段，這一步可以通過劃分vlan

解決，即服務(wù)器和主機在不同的網(wǎng)段?；蛘呖梢栽诼酚善鞯膬?nèi)網(wǎng)接口下配置sub 地址，也能解決此問題。只要數(shù)據(jù)流經(jīng)過Router 就可以正常訪問。

2) 路由器支持端口回流，其原理如下：

當(dāng)路由器收到Host A發(fā)送的向202.38.1.1發(fā)送的TCP 請求報文時，路由器將目標(biāo)地址改為NAT 的映射后的私網(wǎng)地址（10.110.10.1），端口為80。同時也把請求報文的源地址改為內(nèi)部網(wǎng)關(guān)的地址即10.110.10.10，端口1025。之后Web 服務(wù)器收到此請求報文。并對其回應(yīng)。因為報文的源地址為網(wǎng)關(guān)地址。所以此報文會再經(jīng)過網(wǎng)關(guān)。從而再次轉(zhuǎn)換。達(dá)到Host A可以正常訪問服務(wù)器的目的。其實這一步也可以理解為基于源地址轉(zhuǎn)換的NAT 。即本文后面要說到的域內(nèi)NAT 。

為什么說是端口回流，因為在大多數(shù)soho 級的路由器中-如D-Link 的路由有一個專門的選項為“端口回流”（此特性要看具體型號）如下：

通過NAT 完成“端口回流“

但是在中高端企業(yè)級路由器上則沒有這么一說。因為此功能完全可以由路由器NAT 來完成。假設(shè)Router 為H3C 的路由器。配置如下：

acl number 2000

rule 10 permit source 10.110.10.0 0.0.255.255

rule 15 deny

#

acl number 3000

rule 10 permit ip source 10.110.10.0 0.0.255.255 destination 10.110.10.1 0

rule 15 deny ip

#

interface GigabitEthernet1/1

description inside

nat outbound 2000(此處也可用acl 3000)

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1 nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

description outside

nat outbound 2000

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1

nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 202.38.1.1 255.255.255.0

如上所示，外網(wǎng)口和內(nèi)網(wǎng)口的配置全部相同。這樣內(nèi)網(wǎng)數(shù)據(jù)在訪問web 的服務(wù)器地址時202.38.1.1，在內(nèi)網(wǎng)接口G1/1根據(jù)NAT Server將目標(biāo)地址轉(zhuǎn)換為內(nèi)網(wǎng)地址10.110.10.1，源地址根據(jù)nat outbound 2000把源地址改為G1/1接口的地址。即和上面端口回流原理一樣。如此即可建立連接。

或者很簡單的將內(nèi)網(wǎng)的PC 和Web Server分到不同的網(wǎng)段。PC 改為10.111.10.3網(wǎng)關(guān)為10.111.10.1，配置如下：

interface interface GigabitEthernet1/1

description inside

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1 nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 10.110.10.10 255.255.0.0

ip address 10.111.10.1 255.255.0.0 sub

而此種方式不需要內(nèi)網(wǎng)接口配置nat outbound，比較簡單。

ping 的效果：

C:UsersMELODY>ping 10.110.10.1

正在 Ping 10.111.10.1 具有 32 字節(jié)的數(shù)據(jù):

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

C:UsersMELODY>ping 202.38.1.1

正在 Ping 202.38.1.1 具有 32 字節(jié)的數(shù)據(jù):

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

來自 202.38.1.1 的回復(fù): 字節(jié)=32 時間<1ms TTL=255

上下比較對于ICMP 來說即使ping 的目標(biāo)和回應(yīng)的地址不同，憑借ICMP 的sequence number-ICMP也是可達(dá)的。由此我們更應(yīng)想到，對NAT Server的原理：當(dāng)數(shù)據(jù)包進(jìn)入接口時對數(shù)據(jù)包的目標(biāo)地址進(jìn)行NAT Server的轉(zhuǎn)換，在出接口時對數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換---如果地址都匹配NAT Server配置的地址。

關(guān)于域內(nèi)NAT

我相信，凡事配置過防火墻的工程師都應(yīng)配置過域內(nèi)NAT ，域內(nèi)NAT 的原理和如上H3C 路由器的內(nèi)網(wǎng)接口配置nat outbound的原理如出一轍。只是防火墻配置的位置為域內(nèi)，而路由器為接口。具體配置可參考我之前的“華賽USG 域內(nèi)NAT ”一文。

關(guān)于dns-map

Dns-map 是H3C 的一個技術(shù)。nat dns-map命令用來配置一條域名到外部IP 地址、端口號、協(xié)議類型的映射。此命令用于配置內(nèi)部服務(wù)器的“域名-外部IP 地址、端口、協(xié)議類型”的映射，使內(nèi)部主機在內(nèi)部網(wǎng)絡(luò)無DNS 服務(wù)器的情況下，可以使用不同的域名區(qū)別并訪問對應(yīng)的內(nèi)部服務(wù)器。最多允許配置16條映射。

該功能的實現(xiàn)是對原有DNS ALG的補充和修改。DNS ALG模塊的處理流程：內(nèi)網(wǎng)DNS 服務(wù)器發(fā)向其上級DNS 服務(wù)器的DNS 回應(yīng)報文中的地址，使用nat server命令中設(shè)置的DNS 映射地址替換原有DNS 回應(yīng)報文中的地址。

配置dns-map 后的處理流程：對外網(wǎng)DNS server發(fā)向內(nèi)網(wǎng)PC 的DNS 回應(yīng)報文中，如果該報文中包含的域名是使用dns-map 命令中定義的，那么替換該報文中的公網(wǎng)地址為使用nat server命令映射的私網(wǎng)地址。

配置實例：

客戶需求：

1) 使用H3C 路由器作為NAT 設(shè)備作easy nat實現(xiàn)內(nèi)網(wǎng)對公網(wǎng)的訪問

2) 內(nèi)部服務(wù)器能夠被外網(wǎng)以域名方式訪問，域名已注冊，能被公網(wǎng)dns 服務(wù)器正

確解析為202.38.1.1

3) 內(nèi)網(wǎng)用戶也能像外網(wǎng)用戶一樣通過域名訪問內(nèi)網(wǎng)服務(wù)器

參考配置：

nat dns-map www123.com 202.38.1.1 80 tcp

nat dns-map ftp.123.com 202.38.1.1 21 tcp

nat dns-map smtp.123.com 202.38.1.1 25 tcp

nat dns-map pop.123.com 202.38.1.1 110 tcp

#

acl number 2000

rule 10 permit ip source 10.110.0.0 0.0.255.255

#

interface GigabitEthernet1/1

description inside

ip address 10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

description outside

nat outbound 2000

nat server protocol tcp global 202.38.1.1 www inside 10.110.10.1 www nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.1 smtp nat server protocol tcp global 202.38.1.1 pop3 inside 10.110.10.1 pop3 nat server protocol tcp global 202.38.1.1 4899 inside 10.110.10.1 4899 nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.1 8080 nat server protocol udp global 202.38.1.1 dns inside 10.110.10.1 dns ip address 202.38.1.1 255.255.255.0

要替換的報文如下：

由上可以看出，dns-map 將匹配的域名和公網(wǎng)地址的DNS 回應(yīng)報文的解析地址改為了內(nèi)網(wǎng)地址，如此內(nèi)網(wǎng)的PC 就可以通過內(nèi)網(wǎng)地址訪問服務(wù)器了。只是將DNS 解析請求發(fā)到了公網(wǎng)而已。之后的數(shù)據(jù)走的都是二層了。但是有個弊端就是PC 與服務(wù)器的數(shù)據(jù)流沒有經(jīng)過三層，降低了安全性。