SRX ファイアウォール目標NAT ラボラトリーマニュアル
計画:
1、外部ネットワーク外部のホストコンピュータモデリング、シミュレーションは、仮想マシン2003、HTTPサーバをDNS。
IP:222.0.0.2/27
2、仮想マシンのシミュレーションネットワークの内部XP、およびHTTPサーバとネットワークホスト、
IP:192.168.1.8/24
3、SRX壁からuntrustアドレス:222.0.0.1/27
信頼住所:192.168.1.1/24
4、テスト・ソフトウェア:HFS、
機能検証
ショーのセキュリティNAT先の概要
ショーのセキュリティNAT先のプールpoolXXX
ショーのセキュリティNAT先ルールrulexxx
ショーセキュリティフローセッション
テストスクリプト1
GE-0/0/0ユニット0ファミリーINETアドレス192.168.1.1/24インターフェイスセット
セットのint tはGE-0/0/1ユニット0家族のinetアドレス222.0.0.1/27をerfaces
セットセキュリティNAT先プールプール-1-8_8080アドレス192.168.1.8/32
セットセキュリティNAT先プールプール1-8_8080アドレスポート8080
セットセキュリティNAT先プールプール-1-8アドレス192.168.1.8/32
ゾーンからuntrustからセットセキュリティNAT先のルール・セットDST-NATルール
セットセキュリティNAT先のルール・セットDST-NATルールルールrule13-30_80一致先アドレス222.0.0.5/32
セットセキュリティNAT先のルール・セットDST-NATルールルールrule13-30_80マッチ宛先ポート80
セットセキュリティNAT先のルール・セットDST-NATルールルールrule13-30_80送り先NATプールプール-1-8_8080
設定したセキュリティNAT先のルール・セットDST-NATルールルールrule111_8マッチ宛先アドレス111.0.0.8/32
セットセキュリティNAT先のルール・セットDST-NATルールルールrule111_8送り先NATプールプール-1-8
GE-0/0 / 1.0アドレス222.0.0.5/32インターフェースセット、セキュリティ、NAT、プロキシARP
ゾーンの信頼に-ゾーンUntrustポリシールール1試合ソース・アドレスセットのセキュリティポリシーどの
ゾーンの信頼に-ゾーンUntrustポリシールール1試合宛先アドレスセットのセキュリティポリシーどの
セットセキュリティポリシーからゾーンの信頼に-ゾーンUntrustポリシールール1マッチアプリケーションの任意
set security policies from-zone trust to-zone untrust policy rule1 then permit
set security policies from-zone untrust to-zone trust policy rule01 match source-address any
set security policies from-zone untrust to-zone trust policy rule01 match destination-address any
set security policies from-zone untrust to-zone trust policy rule01 match application any
set security policies from-zone untrust to-zone trust policy rule01 then permit
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
多个地址一对一对应批量NAT
set security nat destination pool 33 address 192.168.1.8/32 to192.168.1.9/32
set security natdestination rule-set dst-nat-rule rule 12 match destination-address 111.0.0.1/31
set security natdestination rule-set dst-nat-rule rule 12 then destination-natpool test33
另一种表示式:
replace pattern 111.0.0.1/31 with 111.0.0.2/31
PING如何做基于端口的NAT
set security nat destination rule-set dst-nat-rule rule test-30_80 match destination-address 222.0.0.5/32
set security nat destination rule-set dst-nat-rule rule test-30_80 match protocol icmp
set security nat destination rule-set dst-nat-rule rule test-30_80 then destination-nat pool pool-1-8
ICMP没有明确的端口,不能直接定义端口,
rule中可以直接用protocol icmp,或者application junos-icmp-ping,
pool中不能定义端口,直接使用服务器地址即可
多个外部端口对应一个内部端口
set security nat destination pool test3 address 192.168.1.8/32
set security nat destination pool test3 address port 8081
set security nat destination rule-set dst-nat-rulerule 12 match destination-address 222.0.0.8/32
set security nat destination rule-set dst-nat-rule rule 12 match destination-port 8080 to 8081
set security nat destination rule-set dst-nat-rule rule 12 then destination-natpool test3
set security nat proxy-arpinterface ge-0/0/1.0 address 222.0.0.8/32
Session ID: 48695, Policy name: rule01/5, Timeout: 1748, Valid
In: 222.0.0.2/1129 --> 222.0.0.8/8080;tcp, If: ge-0/0/1.0, Pkts: 5, Bytes: 743
Out: 192.168.1.8/8081 --> 222.0.0.2/1129;tcp, If: ge-0/0/0.0, Pkts: 5, Bytes: 4206
Session ID: 69133, Policy name: rule01/5, Timeout: 1768, Valid
In: 222.0.0.2/1128 --> 222.0.0.8/8081;tcp, If: ge-0/0/1.0, Pkts: 11, Bytes: 1982
Out: 192.168.1.8/8081 --> 222.0.0.2/1128;tcp, If: ge-0/0/0.0, Pkts: 17, Bytes: 16539
多个外部端口对应多个内部端口
set security nat destination pool test4address 192.168.1.8/32
set security nat destination pool test4address port 8080
set security nat destination pool test5address 192.168.1.8/32
set security nat destination pool test5address port 8081
set security nat destination pool test6address 192.168.1.8/32
set security nat destination pool test6address port 8082
set security natdestination rule-set des-natrule 12 match destination-address 222.0.0.8/32
set security natdestination rule-set des-natrule 12 match destination-port 8080
set security natdestination rule-set des-natrule 12 then destination-natpool test4
set security natdestination rule-set des-natrule 13 match destination-address 222.0.0.8/32
set security natdestination rule-set des-natrule 13match destination-port 8081
set security natdestination rule-set des-natrule 13then destination-natpool test5
set security natdestination rule-set des-natrule 14match destination-address 222.0.0.8/32
セットセキュリティnatdestinationルールセットデ・natrule 14match宛先ポート8082
セットセキュリティnatdestinationルール・セット・デ・natrule 14then先-natpool TEST6