Noriu/Cyber_Security_Notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

2024年9月2日 16:50:36

Browse Source
This commit is contained in:
Noriu 2024-09-02 16:50:34 +08:00
parent 506a3966e2
commit 6d318b4fdd
1 changed files with 63 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

66
B. 第二阶段/拓扑练习/0902_NAPT.md
View File

@ -36,7 +36,7 @@
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit
[AR1]nat address-group 1 100.1.1.3 100.1.1.3 //单公网地址
[AR1]nat address-group 1 100.1.1.3 100.1.1.3 //单公网地址
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
```
@ -249,7 +249,7 @@
### 五、NAT-Server添加内网服务器
### 五、NAT-ServerNAT服务器映射
![image-20240902151900787](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902151900787.png)
@ -318,4 +318,64 @@
![image-20240902154749488](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902154749488.png)
- **Client4 PING 内网Server2**
![image-20240902162424380](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902162424380.png)
**3、拓展 - 映射ICMP协议**
- **AR1**
```
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol icmp global 100.1.1.6 inside 192.168.1.50
```
### 六、TCP端口的NAT映射
![image-20240902163025720](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902163025720.png)
#### 1、配置
- **在 `五、NAT-ServerNAT服务器映射` 的环境下**
- **AR1**
```
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 6969 inside 192.168.1.100 80
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 21 inside 192.168.1.100 21
```
*解析:*
1. `[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 6969 inside 192.168.1.100 80`
- `nat server`表示这是一条NAT服务器配置命令。
- `protocol tcp`指定要转换的协议类型为TCP。
- `global 100.1.1.6 6969`指定全局地址和端口号。这里的全局地址是100.1.1.6端口号是6969。全局地址是公网地址用于在互联网上标识这台设备。
- `inside 192.168.1.100 80`指定内部地址和端口号。这里的内部地址是192.168.1.100端口号是80。内部地址通常是局域网地址不需要在互联网上公开。
> 这条命令的作用是将内部网络中的`192.168.1.100`主机的80端口映射到公网地址`100.1.1.6`的6969端口。这样外部网络中的用户可以通过访问`100.1.1.6:6969`来访问内部网络的`192.168.1.100:80`服务。
2. `[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 21 inside 192.168.1.100 21`
- 这条命令与上一条命令类似也是配置NAT服务器。
- `global 100.1.1.6 21`这次将100.1.1.6的21端口映射到内部网络。
- `inside 192.168.1.100 21`内部网络的192.168.1.100主机的21端口。
> 这条命令的作用是将内部网络中的`192.168.1.100`主机的21端口映射到公网地址`100.1.1.6`的21端口。这样外部网络中的用户可以通过访问`100.1.1.6:21`来访问内部网络的`192.168.1.100:21`服务通常这个端口用于FTP服务。
> 总结这两条命令都是在路由器上配置了TCP端口的NAT映射使得内部网络的服务可以对外提供服务同时隐藏了内部网络的真实地址。
#### 2、测试
- **Client4 访问 内网Server3HTTP**
![image-20240902164008738](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902164008738.png)
- **Client4 访问 内网Server3FTP**
![image-20240902164458178](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902164458178.png)