1、juniper防火牆MVP
MIP 是“一對一”的雙向地址翻譯(轉換)過程。通常的情況是:當你有若干個公網 IP 地址,又存在若干的對外提供網絡服務的服務器(服務器使用私有 IP 地址),爲了實現互聯網用戶訪問這些服務器,可在 Internet 出口的防火牆上建立公網 IP 地址與服務器私有 IP 地址之間的一對一映射(MIP),並通過策略實現對服務器所提供服務進行訪問控制。
web下配置MIP:
1)登陸防火牆,將防火牆部署爲三層模式(NAT或路由模式)
2)定義MIP::Network=>Interface=>ethernet2=>MIP,配置實現 MIP 的地址映射。Mapped IP:公網 IP 地址,Host IP:內網服務器 IP 地址
3)定義策略:在 POLICY 中,配置由外到內的訪問控制策略,以此允許來自外部網絡對內部網絡服務器應用的訪問。
命令行方式配置MIP:
1) 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2)定義MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter
trust-vr
3)定義策略
set policy from untrust to trust any mip(1.1.1.5) http permit
save
2、juniper防火牆VIP配置
MIP 是一個公網 IP 地址對應一個私有 IP 地址,是一對一的映射關係;而 VIP 是一個公網IP 地址的不同端口(協議端口如:21、25、110 等)與內部多個私有 IP 地址的不同服務端口的映射關係。通常應用在只有很少的公網 IP 地址,卻擁有多個私有 IP 地址的服務器,並且,這些服務器是需要對外提供各種服務的。
使用web瀏覽器方式配置VIP:
1)登錄防火牆,配置防火牆爲三層部署模式
2)添加VIP:Network=>Interface=>ethernet2=>VIP
如有多個公網地址可以點擊Virtual IP Address 192.168.1.1 Add添加VIP公網地址;然後點擊New VIP Service配置映射關係
Virtual IP:指定公網IP地址
Virtual Port :指定的是公網訪問端口,如果指定的是自定義端口如6899,則在策略中需要允許該端口訪問
Map to Service:指定的是內網端口,可以選擇自己定義的,策略中也需要放行
Map to IP:指定內網地址
Server Auto Detection: 爲服務器自動檢查,一般不需要開啓
3)添加與該VIP公網地址相關的訪問控制策略。
Action選擇permit點擊OK完成配置。
使用命令行方式配置VIP:
1) 配置接口參數
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2)定義VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3)定義策略
set policy from untrust to trust any vip(1.1.1.10) http permit
save
3、至於爲什麼要寫這篇博客
主要是今天內網一臺服務器需要映射到公網進行測試,在映射完80和8080兩個端口後,發現internet網中的客戶端都可以訪問頁面,後來發現手機端在4G網絡中,不能訪問,經過一段時間排查,發現是電信運營商將4G網絡中的80和8080端口給封了,需要進行備案才能開發該端口,後來沒辦法了,想想先只是測試而已,就改端口吧。計劃將80端口映射到外網88端口,8080內網端口映射到外網8099端口,配置好策略後,telnet端口不通呢?排查了老半天,發現還是配置有問題,經過多方折騰終於找到問題原因:如果需要將內網的80端口映射到外網88端口,首先需要在Policy > Policy Elements > Services > Custom下新建端口88,然後在VIP配置中外網端口改爲88(Virtual Port:88),內網端口選擇http(80)即可,最後一步很重要,在policy策略中修改服務(Service)點擊Multiple,將創自己創建好的88好端口加進來,點擊確定,大功告成!8080端口添加原理一樣,只是8080端口juniper防火牆沒有默認配置,需要自己創建8080內網端口號和外網指定端口號,然後將兩個端口都添加到策略服務中即可,算是個小坑吧,希望對後方同志遇到同樣的問題有所幫助!