网络安全与技术
网络安全与技术

向各位请教一个关于SSG550的NAT问题

修改时间 ‎07-01-2013 11:11 PM

向各位求助一个关于SSG550的NAT问题

 

拓扑图如下:

 

QQ截图20130701224805.png

 

两台SSG550部署在最外端做HA,电信给了互联地址222.222.222.222,网关是222.222.222.221

 

电信还给了几个公网IP可用于做映射,是111.111.111.111~115,但这些可做映射的公网地址跟端口互联地址不一样

 

目前配置如下:

 

防火墙的OS版本:ssg500.6.2.0r12.0

 

端口:e0/0    zone:CT     IP:222.222.222.222

端口:e0/1    zone:Trust   IP:10.1.3.1

 

路由:默认路由指向e0/0出去,下一跳是222.222.222.221,出接口是e0/0

          内网与其他设备起了OSPF,已互通

 

NAT:从Trust到CT,Policy为any any 做CT端口的映射,给内网上网用

 

 

目前遇到的问题:

 

用电信给的111.111.111.111想映射成内网的服务器,其中TCP25端口映射给192.168.10.7的TCP25,TCP110端口映射给192.168.10.5的TCP110

 

做MIP可以实现111.1111.111.111-->192.168.10.5  或111.111.111.111 -->192.168.10.7 只能做一对一映射,不能做一对多的服务映射

 

做VIP提示与CT端口不在同一网段内,不允许配置,配了Secondary IP为111.111.111.110,可以ping通111.111.111.110 但VIP还是提示与CT端口不在同一网段内,另外电信也不允许把111.111.111.X网段配成互联地址

 

曾经试过做CT-Trust的基于policy的NAT,好像不成功,不知道为何:

CT--Trust     S:any  D:111.111.111.111   SMTP  permit log

Advanced Policy Settings:Destination Translation  192.168.10.7  Map to Port  25

 

CT--Trust     S:any  D:111.111.111.111   POP3 permit log

Advanced Policy Settings:Destination Translation  192.168.10.5  Map to Port  110

 

这两个写了后映射还是没做成功,而且看log没有任何流量经过

 

真的不知道怎么办了,向各位高手求助了....

1 条回复1
网络安全与技术

回复: 向各位请教一个关于SSG550的NAT问题

修改时间 ‎12-23-2013 03:55 PM

The VIP address has to be on the same subnet as the Ethernet interface where the VIP is defined.

JNCIS-FWV
JNCIS-SEC
JNCIA-ER
JNCIS-ER
CCNA
http://k968888.blog.sohu.com