FortiGate NAT的实现方法

FortiGate NAT的实现方法

目录

1.目的 (3)

2.环境介绍 (3)

3.静态NAT (3)

4.动态NAT (4)

5.端口NAT (5)

6.中央NAT (5)

7.查看NAT信息 (7)

8.参考 (9)

1.目的

NAT(Network Address Translation，网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程，本文档针对FortiGate的各种NAT进行说明，如静态NAT，动态NAT，端口NAT，中央NAT。

2.环境介绍

本文使用FortiVMware进行说明, 本文支持的系统版本为FortiOS v4.0MR2 Patch8及更高。

3.静态NAT

静态NAT是将一个私有地址转换为一个固定的公有地址。FortiGate的虚拟IP支持一对一或者范围的IP转发以及一对多的端口转发，包含ADSL动态IP 地址的主机映射。

静态NAT的详细配置请参考FortiGate虚拟IP设定。

4.动态NAT

内部网络中多个主机地址转换为合法外部地址集中的其中一个。

定义动态IP地址的IP池。

新建策略并启用NAT，选择之前建立的动态地址池。

此时，10.1.0.[3-8]在访问外网时，将不使用FortiGate的接口地址进行转换，而使用动态地址池内的地址进行NAT。

5.端口NAT

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问。端口NAT是最为常见的NAT方式。

可以选择通过使用接口地址进行NAT。

在使用端口NAT时，也可以使用动态IP池使用指定的地址进行NAT，当使用一个地址做端口NAT时，选择保持端口号参数时需要谨慎，如果启用该选项，源地址的源端口NAT的时候将不变更，那么另一个源地址的同样源端口将无法实现NAT。

6.中央NAT

中央NAT是将所有需要NAT的条目单独定义在一个NAT表中，策略在启用中央NAT

表时，将会按照策略的源来对中央NAT表进行匹配，按照定义的源目的地址和端口进行NAT转换。

定义动态IP池

定义中央NAT表，指定源地址，希望转换的地址，源端口，希望转换后的端口

此例中将10.1.0.[3-8]的源端口2000-12000转换为59.108.29.187的32000-42000端口，源端口12001-22000转换为另一个地址59.108.29.186的42001-52000。

新建策略启用中央NAT表。

7.查看NAT信息

具体的NAT信息可以通过在系统管理的状态会话排行榜中查看细节。

可以点击细节查看详细信息

在命令行下，可以通过get sys session list查看

FG-VM1 # get sys session list

PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT

udp 179 10.1.0.3:63808 10.10.70.12:30660 211.99.25.1:53 -

udp 179 10.1.0.3:63616 10.10.70.12:31748 211.99.25.1:53 -

udp 43 10.1.0.3:60586 10.10.70.12:34350 211.99.25.1:53 -

udp 172 10.1.0.3:60454 10.10.70.12:58018 211.99.25.1:53 -

udp 178 10.1.0.3:57254 10.10.70.12:53538 211.99.25.1:53 -

udp 166 10.1.0.3:59108 10.10.70.12:38496 211.99.25.1:53 -

udp 179 10.1.0.3:54378 10.10.70.12:48878 211.99.25.1:53 -

udp 179 10.1.0.3:51784 10.10.70.12:50380 211.99.25.1:53 -

udp 165 0.0.0.0:68 - 255.255.255.255:67 -

tcp 3 192.168.147.123:50414 - 192.168.147.1:80 -

tcp 33 192.168.147.123:50434 - 192.168.147.1:80 -

tcp 53 192.168.147.123:50438 - 192.168.147.1:80 -

tcp 113 192.168.147.123:50484 - 192.168.147.1:80 -

tcp 83 192.168.147.123:50462 - 192.168.147.1:80 -

tcp 3593 192.168.147.123:50492 - 192.168.147.1:80 -

tcp 3597 10.1.0.3:2947 10.10.70.12:57607 61.135.169.105:80 -

udp 175 10.1.0.3:57671 10.10.70.12:35779 192.168.118.35:53 - udp 179 192.168.147.1:500 - 192.168.147.25:500 - udp 179 10.1.0.3:61065 10.10.70.12:57357 211.99.25.1:53 - udp 171 10.1.0.3:57671 10.10.70.12:37315 211.99.25.1:53 -

8.参考

IP Network Address Translator (NAT) Terminology and Considerations