华为FW报文处理流程
以下摘抄自《华为防火墙技术漫谈》,有删减FW对ICMP报文是如何处理的?
NAT server映射如下
nat server test 0 protocol tcp global 1.1.1.10 inside 10.0.12.2
在外网 ping 1.1.1.10 查看会话,
display firewall session tablever
Current Total Sessions : 1
icmp VPN: public --> publicID: c487feba399c1306b3858ff1017
Zone: untrust --> untrustTTL: 00:00:20Left: 00:00:19
Interface: GigabitEthernet1/0/1NextHop: 1.1.1.10MAC: 0000-0000-0000
<--packets: 0 bytes: 0 --> packets: 4 bytes: 336
1.1.1.2:53163 --> 1.1.1.10:2048 PolicyName: ---
总结:
[*]其实该nat server写不写都一样
[*]FW确实没有查到nat策略,但是路由和安全策略是通过的,所以还是创建了会话
[*]在之后的处理中,没有nat映射,而是建里了untrust->untrust的会话,因为路由下一跳接口是在untrust区域
可以配置icmp的映射
nat server test protocol icmp global 1.1.1.10 inside 10.0.12.2
会话
dis firewall session tablever
Current Total Sessions : 1
icmpVPN: public --> publicID: c487feba3992230ec0b58ff1240
Zone: untrust --> trustTTL: 00:00:20Left: 00:00:16
Interface: GigabitEthernet1/0/0NextHop: 10.0.12.2MAC: 00e0-fcd6-05fc
<--packets: 5 bytes: 420 --> packets: 5 bytes: 420
1.1.1.2:53675 --> 1.1.1.10:2048 PolicyName: default
UDP的原理同ICMP是一样的
页:
[1]