- 防火墙测试之网络地址转换
- 多对多正向NAT
- 一对多反向NAT
- 多对多反向NAT
名 称 :多对一正向NAT
内 容 :测试防火墙是否具有多对一正向NAT功能。
特殊要求或配置 :无
测试步骤 :
①添加多对一正向NAT规则;
②内网主机访问外网服务器;
③采用协议分析工具在外网监听分析数据包。
预期结果 :数据包的源地址应被转换为防火墙的外部接口(或外网指定)地址,防火墙实现了多对一正向NAT功能。
实测数值 :
使用17.1.0.0/16网段访问18.1.0.0/16,客户端抓包1。
客户端2抓包。
使用17.1.0.0/16网段访问18.1.0.0/16,服务器端抓包,做了snat。
多对多正向NAT名 称 :多对多正向NAT
内 容 :测试防火墙是否具有多对多正向NAT功能。
特殊要求或配置 :无
测试步骤 :
①添加多对多正向NAT规则;
②多台内网主机多次访问外网服务器;
③采用协议分析工具在外网监听分析数据包。
预期结果 :数据包的源地址应被转换为防火墙的设定的多个外网地址,防火墙实现了多对多正向NAT功能。
实测数值 :
使用17.1.0.0/16网段访问18.1.0.0/16,服务器端源地址转换成多个ip地址,服务器端抓包。
可以看到在服务器端抓包被映射成接口上的多个ip地址。
名 称 :一对多反向NAT
内 容 :测试防火墙是否具有一对多反向NAT功能;通过为内部网或DMZ服务器作静态地址映射,使外网用户可以通过防火墙系统直接访问该服务器。
特殊要求或配置 :无
测试步骤 :
①添加一对多反向NAT规则;
②将防火墙DMZ区域的多个服务器地址映射成外网段的一个IP地址(大多数情况是防火墙外网接口地址);
③在外网主机通过映射的外网IP地址访问DMZ服务器;
④在DMZ上捕捉数据包进行分析。
预期结果 :外网主机能够通过映射的外网IP地址访问到DMZ相应的服务器,防火墙依据访问的服务端口进行判断,实现了一对多反向NAT功能。
实测数值 :
将接口ip地址192.168.100.1的8080端口映射成内网服务器的192.168.101.83的80端口。
客户端抓包:
服务器端抓包,端口映射正确。
将8023端口映射成23端口,客户端抓包。
服务器端抓包,8023端口映射成23口。
名 称 :多对多反向NAT
内 容 :测试防火墙是否具有多对多反向NAT功能;通过为内部网或DMZ服务器作静态地址映射,使外网用户可以通过防火墙系统直接访问该服务器。
特殊要求或配置 :无
测试步骤 :
①添加多对多反向NAT规则;
②将防火墙DMZ区域的多个服务器地址映射成外网段的多个IP地址;
③在外网主机通过映射的外网IP地址访问DMZ服务器;
④在DMZ上捕捉数据包进行分析。
预期结果 :外网主机能够通过映射的外网IP地址访问到相应的服务器,实现了多对多反向NAT功能。
实测数值 :
将接口ip地址192.168.100.1的8080端口映射成内网服务器的192.168.101.83的80端口,将8023映射到192.168.101.84的23端口上。
客户端抓包。
服务器端抓包,端口映射正确。
将8023端口映射成23端口,客户端抓包。
服务器端抓包,8023端口映射成23口,端口映射正确。
