SRX ファイアウォールNAT の設定
なぜアドレス変換
NATは、パブリックネットワークを提供するために、主に、プライベートネットワークのIPアドレス間の変換は、また、ポート変換をサポートしています
NATが不足しているルーティングすると、ルーティング競合がアドレスを変換することによって解決することができます
セキュリティ、本当のIPを隠すために、外部のサーバ
SRXのパケット処理
NAT 変換されたアドレスは知っている必要があります
我々は確認する必要があります最初のステップ、仮想IPの外部計画変換を、提供(例えば、パブリックIP)
Ø つのサーバーポートマッピングを外部複数のサービスを提供し、単一のサーバーに適用されます。
問題:ネットワーク管理は、ファイアウォールの外側から覆いすることはできません!
Oポートマッピングポートベースのサーバ:複数のサーバーのために、各外部複数のサービスを提供します。
複数のサーバを行うことができ、外部ネットワークポートとサーバポートが異なる場合があります!
Ø内部ネットワークへのアクセス公衆ネットワーク、パブリックネットワークアドレスにアクセスするためのソースNAT、ネットワークアドレス変換、今後のパブリック・ネットワーク・インタフェース
注:パブリックIPアドレスのみが64,000セッションをサポートすることができます
NATのパブリックネットワークアドレスとパブリックネットワークインタフェースが同じネットワークセグメントである場合、NATプロキシARP、それほど有効パブリックアドレスには、このMACアドレスを解決することがあまりにもSRXピアデバイスを、パケットは通常のファイアウォールへの復帰を容易にするために送信することができるSRX
プロキシARP
私たちの公衆ネットワーク・インターフェース・アドレスは十分ではありません、または同じセグメントアドレスが不足した場合、我々は再びなく、同じサブネット内に、公衆ネットワーク事業者の一部は、インターフェイスのアドレスでこれらのアドレスを申請する必要があります。
IPファイアウォール監督壁インターフェースの外部ネットワークへのルートを提示するピアのニーズは、追加の処理を必要としない、直接NATことができます
[編集セキュリティNAT]
ユーザー@ホスト#ショー
プロキシARP {
/ 0 / 3.10インターフェイスGE-0 {
住所 {
1.1.70.100/32に1.1.70.10/32。
}
NAT 変換されたアドレスは知っている必要があります
私たちの公衆ネットワーク・インターフェース・アドレスは十分ではありません、または同じセグメントアドレスが不足した場合、我々は再びなく、同じサブネット内に、公衆ネットワーク事業者の一部は、インターフェイスのアドレスでこれらのアドレスを申請する必要があります。
IPファイアウォール監督壁インターフェースの外部ネットワークへのルートを提示するピアのニーズは、追加の処理を必要としない、直接NATことができます
ネットワークアドレス変換
NATは、パブリックネットワークを提供するために、主に、プライベートネットワークのIPアドレス間の変換は、また、ポート変換をサポートしています
NAT タイプ
NATとPATの二つのタイプ:
•送信先NATに基づいて:宛先アドレスとポートを変換含ま
• 基于源地址的NAT:包括源IP地址及端口的转换
目的及源NAT、PAT的组合
动态与静态的地址转换
NAT类型
SRX还提供第三种NAT:Static NAT
静态地址翻译:提供双向NAT功能,由source static nat与destination static nat组合而成
目的NAT
目的NAT的两种类型:
• Static NAT:此为1对1的地址映射,此NAT没有PAT端口转换
• Rule-based NAT:基于动态地址池的地址映射,此NAT选择是否做PAT端口转换
VoIP ALGs 会动态产生allow-incoming表来允许数据进入内部网络
静态目的地址转换
Sample topology:
Enable static destination NAT to host A using a public address of 100.0.0.1/32
将内网主机10.1.10.5与公网IP地址100.0.0.1绑定做一对一的静态映射
一对一的地址转换,在NETSCREEN中称之为MIP
静态目的地址转换
具体配置如下,destination-address定义为公网IP地址
[edit security]
user@host# show
nat {
static {
rule-set r1 {
from zone untrust;
rule a {
match {
destination-address 100.0.0.1/32;
}
then {
static-nat prefix 10.1.10.5/32;
静态目的地址转换
set interfaces ge-0/0/0 unit 0 family inetaddress 222.0.0.1/27
set interfaces ge-0/0/1 unit 0 family inetaddress 192.168.1.1/24
set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.8/32
set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.7/32
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all
set security natstaticrule-set static-natfrom zone untrust
set security nat static rule-set static-natrule 1 match destination-address222.0.0.6/32
set security nat static rule-set static-natrule 1 then static-natprefix 192.168.1.6/32
set security natstaticrule-set static-natrule 2 match destination-address222.0.0.7/32
set security natstaticrule-set static-natrule 2 then static-natprefix 192.168.1.7/32
set security natstaticrule-set static-natrule 3 match destination-address222.0.0.8/32
設定したセキュリティnatstaticruleセット静的-natrule 3、静的-natprefix 192.168.1.8/32
セキュリティNATスタティックルールを示し、3
NATは、ネットワークに障害が並ぶようにヒットを開始した外部からアクセスされていることを確認し、NAT対応を見ます
静的宛先アドレス変換
リバース静的ソースNATは自動的に有効になります。
ネットワーク内のホストが192.168.1.8のネットワークアクセス要求が外を開始した場合、IPアドレスは自動的に222.0.0.8に変換されます
セッションはセッション開始の確立を確認するために、直接的な関係を持つ誘発型NATセッションまで作成されていません