根据RFC1700,最开始端口保留范围是0-255,但是随着应用的增加,后来IANA将端口范围扩充到0-1023,这就是我们广为熟知的保留端口或知名端口。
但是在后来实际应用中,很多超过1023的端口也被注册使用,其中主要分布在1024~2049之间,2049以上的就很少,具体可以参考RFC1700。
例如2017~2046之间,基本上每个端口都有注册使用。
2049以上注册使用的就很少了。
因此华为防火墙将0-2047端口做为保留端口或知名端口,源NAT转换的时候,转换后的端口范围取2048-65535。
对防火墙来说,源NAT转换后的端口范围为1-2047端口时,防火墙自身是没有问题,不会导致业务故障。
之所以避开1-2047端口是由于如果防火墙将源NAT转换后的端口范围为1-2047,则回应报文的目的端口范围就变成1-2047,中间设备可能认为这是一个知名服务而做特殊处理,可能会带来一些不合预期的结果。
友商防火墙的实现可能不一样,例如华三防火墙默认是没有保留端口,可以通过如下命令进行配置:
华为防火墙盒式设备可以使用下面这个命令调整保留端口范围,但是起始端口号最小也要2048。
本文由 @徒行者 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《华为防火墙NAT端口分配保留0-2047端口的原因》
文章链接:https://www.ruodian360.com/tech/networking/50076.html
添加微信ydian188免费入群,记得备注“弱电智能网”。
