Настройка source, destination, static NAT а также перенаправление портов на платформах Juniper srx100, srx100h ипользованием Junos




Полезная ссылка: О нас и наших клиентах

 

 

Настройка NAT на платформах Juniper srx100, srx100h ипользованием Junos  

 

 

Есть 3 вида NAT для устройств Junos SRX: Source NAT, destination NAT, and static NAT.

В данной статье мы также рассмотрим использование прокси- ARP. В этом посте будут указаны только основные и наиболее распространенные концепции и использование NAT в оборудовании Juniper SRX. Но с этими знаниями, вы сможете настроить NAT для почти любого случая.


Полезная ссылка: Помощь в настройке оборудования Juniper SRX


Этот пост предполагает, что вы знаете основную концепцию NAT, что это такое, почему мы используем его и зачем нам это нужно.

Обработки пакетов Junos NAT.

На схеме ниже показано, как пакет проходит по SRX по протоколу NAT.

Для того, чтобы SRX мог обработать политики, сначала необходимо узнать, в какую зону направлен пакет. Поэтому направление static NAT и destination NAT происходит в первую очередь. После того, как политика проходит оценку, источник static NAT или source NAT преобразовываются.


Как вы могли догадаться, глядя на диаграммы, static NAT имеет преимущество перед любым другим видом NAT.


Настройка Source NAT на Juniper srx100, srx100h 


Как правило, это относится только к исходящему NAT. Трафик из вашей компании, которая имеет частные IP-адреса, который выходит в Интернет, является источником NAT в публичный пул IP адресов.


Примечание: Этот тип NAT является однонаправленным. То есть, трафик будет идти в одну сторону, и будет в состоянии идти назад, но Source NAT не сможет действовать в другом направлении, как аксиома.

 

Настройки для проведения source NAT Juniper srx100, srx100h будут выглядеть примерно так:


 

set security nat source rule-set NAT-DMZ-TO-UNTRUST from zone DMZ

set security nat source rule-set NAT-DMZ-TO-UNTRUST to zone UNTRUST

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match source-address 192.168.0.0/16

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match destination-address 0.0.0.0/0

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE then source-nat interface


Чтобы создать NAT, необходимо создать набор правил и правило внутри этого набора правил. Только один набор правил может быть применен на одной паре зон. В этом наборе правил можно будет применить разные правила.


В приведенном выше примере, трафик, поступающий от 192.168.0.0/16, который может быть направлен куда угодно, но идет из зоны DMZ к зоне Untrust, будет под действием source NAT преобразован на IP адрес интерфейса Untrust. В данном конкретном случае мы преобразовуем порты и адреса (PAT'ing) трафика. Именно здесь многие IP-адреса могут использовать один и тот же source IP, когда они преобразовываются через фаервол Juniper SRX 100 .


Дальнейшие параметры source NAT


Выше представлена заключительная часть настроек NAT. Здесь можно добавить три опции. В приведенном выше случае мы используем опцию interface. Существуют также опции pool и off.


Опция pool 


Предположим, что вы не хотите настраивать  NAT на интерфейсе, но вместо этого хотите использовать другой IP. Чтобы это сделать, нужно создать pool адресов. Настройки будут выглядеть так:

 

set security nat source pool POOL-PAT address 199.199.199.199/32

 

set security nat source rule-set NAT-DMZ-TO-UNTRUST from zone DMZ

set security nat source rule-set NAT-DMZ-TO-UNTRUST to zone UNTRUST

 

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match source-address 192.168.0.0/16

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match destination-address 0.0.0.0/0

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE then source-nat pool POOL-PAT  


Даже если у вас только 1 IP, все равно нужно сделать pool. Pool может быть определен как pool исходный (source) или pool назначения (destination).


Если у вас есть более 64 000 соединений, проходящих через брандмауэр к одному IP, вы можете создать несколько IP-адресов для pool и SRX будет чередовать IP адреса, определенные в pool.


Опция off


Можно определить трафик, для которого Вы хотите отменить NAT. Это было бы полезно, если вы преобразовываете все, что поступает из DMZ в Untrust, но вы не хотите преобразовывать определенный поток, который должен перейти в VPN туннель. Для этого нужно использовать опцию off. Вот пример:


 

set security nat source rule-set NAT-DMZ-TO-UNTRUST from zone DMZ

set security nat source rule-set NAT-DMZ-TO-UNTRUST to zone UNTRUST

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule NAT-OFF match source-address 192.168.0.0/16

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule NAT-OFF match destination-address 172.16.57.0/24

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule NAT-OFF then source-nat off

 

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match source-address 192.168.0.0/16

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE match destination-address 0.0.0.0/0

set security nat source rule-set NAT-DMZ-TO-UNTRUST rule PAT-INTERFACE then source-nat interface


Обратите внимание на два правила. Первое называется NO-NAT, который применяет опцию off, если трафик соответствует критериям. Это потому, что этот трафик проходит через VPN, и нам не нужно его преобразовывать, но все остальное должно быть преобразовано через source NAT.


Это эквивалент Cisco для NAT Zero, NAT 0, No NAT, или Idetity NAT.


Настройка Destination NAT на платформах Juniper srx100, srx100h


Destination NAT обычно относиться к входящему NAT. Если кому-то в Интернете необходимо получить доступ к устройству внутри сети, его можно преобразовать с помощью destination NAT, чтобы быть доступным извне.

Примечание: Это NAT является однонаправленным. То есть трафик будет преобразован  в одну сторону, и будет в состоянии отвечать назад, но это не будет происходить в другом направлении.

Этот тип NAT может быть использован для внешней сети общего пользования, чтобы получить доступ к веб-серверу, который имеет частный IP. Когда трафик приходит в SRX IP назначения нужно изменить из общедоступного IP на реальный IP или частный IP (public IP, real IP, private IP).


 

set security nat destination pool POOL-WEBSERVER address 10.10.10.10/32

set security nat destination rule-set NAT-UNTRUST-TO-DMZ from zone UNTRUST

set security nat destination rule-set NAT-UNTRUST-TO-DMZ to zone DMZ

set security nat destination rule-set NAT-UNTRUST-TO-DMZ rule DEST-NAT match destination-address 199.199.199.199/32

set security nat destination rule-set NAT-UNTRUST-TO-DMZ rule DEST-NAT then destination-nat pool POOL-WEBSERVER


В приведенном выше примере любой входящий в SRX на зону Untrust трафик, который направлен на 199.199.199.199 буде перенаправлен на 10.10.10.10. Имейте в виду, что 10.10.10.10 может ответить на этот трафик в связи с тем, что SRX является брандмауэром, но даже в этом случае он не будет преобразован с помощью source NAT на 199.199.199.199.


Настройка перенаправление портов на платформах Juniper srx100, srx100h


Иногда нужно сделать переадресацию портов. Это можно классифицировать как destination NAT. Вот пример:


 

set security nat destination pool POOL-PORT-FORWARD address 10.10.10.10/32 port 80

set security nat destination rule-set NAT-UNTRUST-TO-DMZ from zone UNTRUST

set security nat destination rule-set NAT-UNTRUST-TO-DMZ to zone DMZ

set security nat destination rule-set NAT-UNTRUST-TO-DMZ rule DEST-NAT match destination-address 199.199.199.199/32

set security nat destination rule-set NAT-UNTRUST-TO-DMZ rule DEST-NAT match destination-port 8080

set security nat destination rule-set NAT-UNTRUST-TO-DMZ rule DEST-NAT then destination-nat pool POOL-PORT-FORWARD


В приведенном выше примере, любой трафик поступающий в SRX из интерфейса Untrust на 199.199.199.199 порт 8080, будет перенаправлен на 10.10.10.10 порт 80.


Настройка static NAT на платформах Juniper srx100, srx100h


Этот тип NAT является двунаправленным. Один общественный IP можно преобразовать в один частный IP. Это значить, что возможно создать source и destination NAT на одному правилу.


Примечание: Этот тип NAT является двунаправленным. Это значит, что трафик будет преобразовываться в обоих направлениях.

Из-за того, что этот тип NAT двунаправленный, его следует использовать, если вы хотите преобразовать общественную IP на частную IP, чтобы трафик к этому IP, преобразовался  с помощью destination NAT, а трафик с этого IР преобразовался с помощью source NAT.


Пример настроек:

 

set security nat static rule-set STATIC-SERVER1 from zone UNTRUST

set security nat static rule-set STATIC-SERVER1 rule RULE-NAME match destination-address 99.99.99.99/32

set security nat static rule-set STATIC-SERVER1 rule RULE-NAME then static-nat 10.10.10.99/32

 

Настройка прокси-ARP на платформах Juniper srx100, srx100h


Если вы осуществляете NAT и назначение не является IP-адресом интерфейса SRX, нужно сделать прокси ARP на SRX.


Представьте, что брандмауэр имеет Untrust IP 99.99.99.99 и делает static NAT для 99.99.99.88 для преобразования на 10.10.10.88. В этом случае Интернет маршрутизатор сделает ARP чтобы найти владельца  99.99.99.88. По умолчанию SRX не будет отвечать на этот запрос ARP. Прокси-ARP должен быть включен, чтобы SRX мог сказать: "О, этот пакет для меня, вот мой MAC адрес".


Вот пример прокси конфигурации ARP:


 

set security nat proxy-arp interface ge-0/0/0.0 address 99.99.99.88/32 to 99.99.99.99/89/32


Теперь SRX  будет "отвечать" на каждый запрос на 99.99.99.88 и 99.99.99.89.

Вот несколько команд, которые могут показать, как NAT проходит через брандмауэр.


show security flow session
show security nat source summary
show security destination source summary



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником
 

____

______
Яндекс.Метрика