Juniper SRX550防火牆NAT配置

原創 飛奔的魚兒 2019-07-08 14:36

一、Source NAT

對於不需要做NAT的網段(比如IPSec×××),需要先關閉這些地址的NAT(如果沒有則跳過

set security nat source rule-set trust-untrust rule no-nat match source-address 192.168.0.0/16

set security nat source rule-set trust-untrust rule no-nat match destination-address 10.10.0.0/24

set security nat source rule-set trust-untrust rule no-nat then source-nat off

 

對於需要上網或者所有的網段(做地址轉換的網段),做source-nat

首先定義一個地址池(要轉換的公網地址):

set security nat source pool natpool1 address 112.48.20.11/32 to 112.48.20.15/32

set security nat source pool natpool2 address 112.48.20.21/32 to 112.48.20.30/32

 

配置NAT規則匹配源、目、轉換地址池

set security nat source rule-set trust-untrust from zone trust

set security nat source rule-set trust-untrust to zone untrust

 

//匹配特定的地址進行轉換(沒有特定可省略)

set security nat source rule-set trust-untrust rule nat1 match source-address 0.0.0.0/0

set security nat source rule-set trust-untrust rule nat1 match destination-address 183.253.58.253/32

set security nat source rule-set trust-untrust rule nat1 then source-nat pool natpool1

 

//默認所有的源、目地址進行轉換

set security nat source rule-set trust-untrust rule nat2 match source-address 0.0.0.0/0

set security nat source rule-set trust-untrust rule nat2 match destination-address 0.0.0.0/0

set security nat source rule-set trust-untrust rule nat2 then source-nat pool natpool2

 

如果NAT地址池有多個地址,除了接口地址,那麼其它地址需要做proxy-arp

set security nat proxy-arp interface ge-0/0/0.0 address 112.48.20.11/32 to 112.48.20.15/32

set security nat proxy-arp interface ge-0/0/0.0 address 112.48.20.21/32 to 112.48.20.30/32

 

做完這些就可以了? NO! NO! NO!防火牆域間策略不能忘

//首先定義兩個地址池,並加入到地址組NET中

set security zones security-zone trust address-book address 192.168.100.0 192.168.100.0/24

set security zones security-zone trust address-book address 192.168.200.0 192.168.200.0/24

set security zones security-zone trust address-book address-set NET address 192.168.100.0

set security zones security-zone trust address-book address-set NET address 192.168.200.0

 

//將地址組匹配到trust到untrust的策略中,並放行

set security policies from-zone trust to-zone untrust policy 1 match source-address NET

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit

 

到此,這192.168.100.0192.168.200.0就可以通過NAT上網了

二、Destination NAT

部分服務器需要映射到公網去,怎麼做呢?那麼往下看:

//首先創建要映射的服務器地址池(包括IP地址和端口)

set security nat destination pool 1 address 192.168.168.168/32

set security nat destination pool 1 address port 443

 

//創建Destination NAT規則要映射的服務器地址池(包括IP地址和端口)

set security nat destination rule-set desnat from zone untrust

set security nat destination rule-set desnat to zone trust

set security nat destination rule-set desnat rule server1 match source-address 0.0.0.0/0

//匹配訪問112.48.20.2的4430端口轉換到內網服務器的443端口

set security nat destination rule-set desnat rule server1 match destination-address 112.48.20.2/32

set security nat destination rule-set desnat rule server1 match destination-port 4430

set security nat destination rule-set desnat rule server1 then destination-nat pool 1

 

還有必不可少的防火牆域間策略

//創建內網服務器地址組及端口

set security zones security-zone trust address-book address server1 192.168.168.168/32

set applications application Service_4430 term Service_4430 protocol tcp

set applications application Service_4430 term Service_4430 source-port 0-65535

set applications application Service_4430 term Service_4430 destination-port 4430-4430

 

//創建untrust到trust的策略,目前地址匹配內網服務器地址及端口

set security policies from-zone untrust to-zone trust policy 1 match source-address any

set security policies from-zone untrust to-zone trust policy 1 match destination-address server1

set security policies from-zone untrust to-zone trust policy 1 match application Service_4430

set security policies from-zone untrust to-zone trust policy 1 then permit

 

 

至此,外網就可以使用http://112.48.20.2:4430/訪問內網的服務器了

 

 

還有一個問題,此時內網的用戶卻不能使用這個公網地址訪問內部的服務器,這個需要在NAT上再做一個內部的地址轉換,如下:

//創建一個源地址映射的地址池(內部服務器映射的地址)

set security nat source pool sorpool4 address 112.48.20.2/32

//創建trust到trust的策略如下

set security nat source rule-set trust-trust from zone trust

set security nat source rule-set trust-trust to zone trust

set security nat source rule-set trust-trust rule server1 match source-address 0.0.0.0/0

set security nat source rule-set trust-trust rule server1 match destination-address 192.168.168.168/32

set security nat source rule-set trust-trust rule server1 match destination-port 443

set security nat source rule-set trust-trust rule server1 then source-nat pool sorpool4

 

至此,內網也可以通過公網地址訪問內部服務器了!!!

 

    如有雷同,純屬巧合,歡迎指正!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

vsftp無法使用root登錄

防火牆關閉(service iptables stop)vsftp開啓 (service vsftpd start) 開啓了root上傳權限 但是連接的時候報錯:(vsftpd下面ftpuser 和 user_list  把root註釋

bypeng 2020-07-08 08:57:18

幾項有趣的服務

今天又發現了幾項有趣的服務。 噹噹噹,第一項便是和GMail有關的,GMail Icon Generator。 這是NeoHacks提供的一項GMail圖標生成服務,點這裏進去,在文本輸入框輸入你的Gmail賬號(不要輸入@Gmail.c

smile2me27 2020-07-08 07:33:08

RedHat Linux 9.0安裝圖解

第1步:第一步:選擇安裝方式。 1、圖形安裝(直接回車) 2、文本安裝(輸入 linux text)    相關評論 作者: Linux培訓部長 發佈日期: 2006-2-21 第2步:選擇“OK”爲檢查光盤 選擇“

qhd_whm 2020-07-08 07:03:30

java練接oracle 10g數據庫

我本以爲用java連接oracle和連接sql server(以前我用的是sql server)一樣,今天我就是編寫了一個連接oracle的程序。可是在運行是一直出錯,這是爲什麼呢?剛開始報不能建立連接。我檢查oracle監聽是否啓動,可

被世界遗忘的角落 2020-07-08 01:51:56

VMware安裝Linux 與本機共享ADSL上網

操作系統:win7 旗艦版 64 bit 虛擬機:Vmware workstation 8 Linux 操作系統:Redhat Linux 5.5 服務器版 選用的共享上網方式:本機 win7 使用ADSL 上網方式,虛擬機使用NAT 方

PANGDD 2020-07-08 01:38:21

讓收費網站去死吧,用google 突破 下載

讓收費網站去死吧,用google 突破 下載首先打開google,在關鍵詞輸入框中輸入"index of/"inurl:lib(雙引號爲英文狀態下),

jkxsanger 2020-07-08 01:36:18

iptables入門教程--設置靜態防火牆

1、iptables介紹 iptables是複雜的,它集成到linux內核中。用戶通過iptables,可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則,來把守你的計算機網絡──哪些數據允許通過,哪些不能通過,哪

xmq_666 2020-07-07 23:55:25

對設計網絡防火牆需考慮的注意事項

設計輸入防火牆檢查傳入 IP 數據包並且阻止那些它檢測爲入侵性質的數據包。可以通過在默認情況下將某些數據包標識爲非法的來完成某些阻擋。或者,也可以將防火牆配置爲阻止某些數據包。TCP/IP 協議是許多年前設計的,沒有考慮到任何有關竊取或入

cnlx 2020-07-07 17:47:18

使用ntpdate中遇到的一種特殊情況

在使用ntpdate命令的時候,遇到了這麼一種情況,提示 Operation not permitted   在這裏,我找了原因是因爲這臺機器,由於以前發現程序異常,在局域網內瘋狂發包,所以運維人員加了一條防火牆限制 -A OUTPUT

zhsh87 2020-07-07 11:17:03

人工智能技術在網絡安全中的作用

下一代網絡安全威脅需要機敏和智能的程序,它們可以快速適應新的和無法預料的攻擊。網絡安全專家認可了AI和機器學習應對挑戰的能力,他們其中大多數人認爲這對未來網絡安全是至關重要的。 人工智能技術在網絡安全中的作用   爲什麼網絡安全如此重

1 2020-07-07 04:41:53

linux運維開發(一)----------防火牆

解決問題: Linux是系統部署常用的系統,但是經常由於我們忘記防火牆的存在導致訪問失敗,爲了解決這個問題,我們需要對防火牆進行關閉操作,對於常見的系統我們提供了以下幾種解決方式: centos 7: 暴力解決 ------ 整

xiaofengbuhuimai 2020-07-07 03:51:26

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法參考文章: (1)PHP利用FTP上傳文件連接超時之開啓被動模式解決方法 (2)https://www.cnblogs.com/edevelop/p/6972018.html 備忘一下

dearbaba_8520 2020-07-06 21:28:09

一個安全策略包

一個WINDOWS的安全策略包,能讓WINDOWS防火牆的安全性大大的增強,不會用的可以來找我 下載地址

WaydeTang 2020-07-06 21:15:21

最新軟件下載

KooMail 2.5 簡體中文版 (9月9日)U-Mail 8.18 For MDaemon Se...(9月9日)卡巴斯基反病毒 5.0.383 正式註冊版 (9月9日)Symantec AntiVirus 10 企業版客...(9月

cndgm 2020-07-06 19:29:14

linux下使用samba上傳文件夾和映射samba目錄爲windows下的目錄以及使用source insight查看Linux工程的問題

剛纔朋友遇到了問題,如何在windows下把samba目錄映射成windows的一個磁盤,還有就是他的samba爲什麼不能上傳目錄. 今天把這連個問題的解決方法寫出來,希望遇到同樣問題的人,能夠提供些幫助. 問題1:如何映

junkor 2020-07-06 14:34:44