山石防火墻配置手冊（網科數據中心防火墻手冊）

介紹如何配置SNAT規則。SNAT規則能夠使內網用戶訪問互聯網

如下圖所示，通過SNAT轉換后，多個內網用戶可以同時使用221.224.30.131/20公網地址訪問Internet

配置接口

1.配置連接內網用戶的接口。

選擇“網絡 > 接口”，雙擊ethernet0/1接口。

綁定安全域：三層安全域

安全域：trust

類型：靜態IP

IP地址：192.168.1.1

網絡掩碼：24

2.配置連接Internet的接口。

選擇“網絡 > 接口”，雙擊ethernet0/3接口。

綁定安全域：三層安全域

安全域：untrust

類型：靜態IP

IP地址：221.224.30.131

網絡掩碼：20

配置安全策略

配置允許內網用戶訪問Internet的安全策略。

選擇“策略 > 安全策略”，點擊“添加”。

名稱：trust_untrust

源信息

安全域：trust

地址：Any

目的信息

安全域：untrust

地址：Any

其他信息

行為：允許

配置地址簿

配置內網用戶的地址范圍。

選擇“對象 > 地址簿”，點擊“新建”。

名稱：snat_IP

成員 : 選擇“IP/掩碼”，文本框依次輸入

“192.168.1.0” 、“24” ，并點擊“添加”按鈕

配置源NAT規則

選擇“策略 > NAT > 源NAT”，點擊“新建”。

當IP地址符合以下條件時：

源地址：“地址條目”、“snat_IP”

（說明：配置為內網用戶的地址。）

將地址轉換為：

轉換為：“指定IP”

地址：“IP地址”、“221.224.30.130”

（說明：配置為公網地址。）

模式：“動態端口(多對一轉換)”

（可選）點擊<更多配置>標簽頁。

選中“啟用”復選框開啟該源NAT規則的日志功能。

配置默認路由

選擇“網絡 > 路由 > 目的路由”，并點擊“新建”。

目的地：0.0.0.0

子網掩碼：0

下一跳：網關

網關：221.224.30.130

驗證網絡是否互通

完成以上配置步驟后，內網用戶通過ping外網中的地址

221.224.30.131，可ping通，說明內網用戶可以訪問Internet。

驗證源NAT規則是否生效

點擊“監控 > 日志 > 日志管理”，選擇<NAT日志>標簽

頁，選中“啟用”復選框開啟NAT日志功能。

然后點擊“監控> 日志 > NAT日志信息”。

通過查看NAT日志，可以看到源IP地址192.168.1.2已轉換

為221.224.30.130。