ジュニパーSRXファイアウォール - 静的NAT（A）

ジュニパーネットワークスSRXスタティックNAT

ウィンXP ----ジュニパーSRX ------ Win2003の

計画：

1、外部ネットワーク外部のホストコンピュータモデリング、シミュレーションは、仮想マシン2003、HTTPサーバをDNS。

IP：222.0.0.2/27

2、仮想マシンのシミュレーションネットワークの内部XP、およびHTTPサーバとネットワークホスト、

IP：192.168.1.8/24

3、SRX壁からuntrustアドレス：222.0.0.1/27

信頼住所：192.168.1.1/24

4、テスト・ソフトウェア：HFS、

テストスクリプト1

 

GE-0/0/0ユニット0ファミリーINETアドレス192.168.1.1/24インターフェイスセット

GE-0/0/1ユニット0ファミリーINETアドレス222.0.0.1/27インターフェイスセット

 

セットセキュリティNATスタティックルール・セット静的NATゾーンからuntrustから

セットセキュリティNATスタティックルール・セットの静的NATルール1試合宛先アドレス222.0.0.6/32

その後、一連のセキュリティNATスタティックルールセットの静的NATルール1静的NAT-プレフィックス192.168.1.6/32

セットセキュリティNATスタティックルール・セットの静的NATルール2試合宛先アドレス222.0.0.7/32

その後、一連のセキュリティNATスタティックルールセットの静的NATルール2スタティックNATプレフィックス192.168.1.7/32

セットセキュリティNATスタティックルール・セットの静的NATルール3試合宛先アドレス222.0.0.8/32

その後、一連のセキュリティNATスタティックルールセットの静的NATルール3静的NATプレフィックス192.168.1.8/32

GE-0/0 / 1.0アドレス222.0.0.8/32インターフェースセット、セキュリティ、NAT、プロキシARP

GE-0/0 / 1.0アドレス222.0.0.7/32インターフェースセット、セキュリティ、NAT、プロキシARP

GE-0/0 / 1.0アドレス222.0.0.9/32インターフェースセット、セキュリティ、NAT、プロキシARP

 

ゾーンの信頼に-ゾーンUntrustポリシールール1試合ソース・アドレスセットのセキュリティポリシーどの

ゾーンの信頼に-ゾーンUntrustポリシールール1試合宛先アドレスセットのセキュリティポリシーどの

セットセキュリティポリシーからゾーンの信頼に-ゾーンUntrustポリシールール1マッチアプリケーションの任意

信託へ-ゾーンUntrustポリシーはその後、許可証をRULE1からゾーンセットのセキュリティポリシー

セットセキュリティポリシーから-ゾーンUntrustへゾーン信頼ポリシーrule01マッチ元アドレス任意の

set security policies from-zone untrust to-zone trust policy rule01 match destination-address any

set security policies from-zone untrust to-zone trust policy rule01 match application any

set security policies from-zone untrust to-zone trust policy rule01 then permit

set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all

 

root@SRX-1> show security flow session

Session ID: 1344, Policy name: rule1/4, Timeout: 2, Valid

  In: 192.168.1.8/295 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/295;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

 

Session ID: 1345, Policy name: rule1/4, Timeout: 2, Valid

  In: 192.168.1.8/296 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/296;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

 

Session ID: 1347, Policy name: rule1/4, Timeout: 4, Valid

  In: 192.168.1.8/297 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/297;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

Total sessions: 3

 

root@SRX-1> show security nat static rule all

Total static-nat rules: 3

Total referenced IPv4/IPv6 ip-prefixes: 6/0

 

Static NAT rule: 1                    Rule-set: static-nat

  Rule-Id                    : 1 

  Rule position              : 1

  From zone                  : untrust

  Destination addresses      : 220.0.0.6

  Host addresses             : 192.168.1.6

  Netmask                    : 32

  Host routing-instance      : N/A

  Translation hits           : 0

    Successful sessions      : 0

    Failed sessions          : 0

  Number of sessions         : 0

 

Static NAT rule: 3                    Rule-set: static-nat

  Rule-Id                    : 3 

  Rule position              : 3

  From zone                  : untrust

  Destination addresses      : 220.0.0.8

  Host addresses             : 192.168.1.8

  Netmask                    : 32

  Host routing-instance      : N/A

  Translation hits           : 719

    Successful sessions      : 719

    Failed sessions          : 0

  Number of sessions         : 4

 

 

root@SRX-1> show security flow session   

Session ID: 2437, Policy name: self-traffic-policy/1, Timeout: 2, Valid

  In: 220.0.0.2/0 --> 220.0.0.9/34064;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.9/34064 --> 220.0.0.2/0;icmp, If: .local..0, Pkts: 1, Bytes: 84

 

Session ID: 2438, Policy name: rule1/4, Timeout: 2, Valid

  In: 192.168.1.8/1233 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/1233;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

 

Session ID: 2439, Policy name: self-traffic-policy/1, Timeout: 2, Valid

  In: 220.0.0.2/1 --> 220.0.0.9/34064;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.9/34064 --> 220.0.0.2/1;icmp, If: .local..0, Pkts: 1, Bytes: 84

 

Session ID: 2440, Policy name: rule1/4, Timeout: 2, Valid

  In: 192.168.1.8/1234 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/1234;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

 

Session ID: 2441, Policy name: self-traffic-policy/1, Timeout: 4, Valid

  In: 220.0.0.2/2 --> 220.0.0.9/34064;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.9/34064 --> 220.0.0.2/2;icmp, If: .local..0, Pkts: 1, Bytes: 84

                                       

Session ID: 2442, Policy name: rule1/4, Timeout: 4, Valid

  In: 192.168.1.8/1235 --> 220.0.0.2/61201;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84

  Out: 220.0.0.2/61201 --> 220.0.0.8/1235;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84

Total sessions: 6

 

 

非接口子网段NAT实验

set security nat static rule-set static-nat rule 4 match destination-address 111.0.0.8/32

set security nat static rule-set static-nat rule 4 then static-nat prefix 192.168.1.8/32