SRX 防火牆NAT配置
爲什麼地址轉換
NAT主要提供公網、私網IP地址之間的轉換,同時也支持端口轉換
NAT路由缺失、路由衝突時,可以通過轉換地址來解決
安全考慮,對外隱藏服務器真實IP
SRX報文處理過程
NAT轉換地址必須知道
我們需要第一步先確認、規劃好對外提供轉換的虛IP,(比如說公網IP)
Ø 一對一服務器端口映射:適用於就一臺服務器,對外提供多個服務功能;
問題:不能從外網管理防火牆咧!
Ø 基於端口服務器端口映射:適用於多臺服務器,分別對外提供多個服務功能;
可以對多臺服務器來做,外網端口和服務器端口可以不一樣!
Ø 內網訪問公網,源NAT,即將內網地址轉換爲公網接口地址訪問公網
注意:一個公網地址只能支持最大64000個會話
當NAT的公網地址和公網接口是在同一網段時,需要啓用NAT Proxy ARP,使得SRX對端設備能夠解析到此公網地址的MAC address,便於返回報文能夠正常發送至SRX防火牆
Proxy ARP
當我們的公網接口地址不夠用,或同段地址用完了,我們需要再向運營商申請一些公網,這些地址與接口地址,不在同一個子網段。
對端需要將本段路由指向防火牆外網接口IP牆上不需要做其他處理,可直接NAT
[edit security nat]
user@host# show
proxy-arp {
interface ge-0/0/3.10 {
address {
1.1.70.10/32 to 1.1.70.100/32;
}
NAT轉換地址必須知道
當我們的公網接口地址不夠用,或同段地址用完了,我們需要再向運營商申請一些公網,這些地址與接口地址,不在同一個子網段。
對端需要將本段路由指向防火牆外網接口IP牆上不需要做其他處理,可直接NAT
網絡地址轉換
NAT主要提供公網、私網IP地址之間的轉換,同時也支持端口轉換
NAT類型
兩種類型的 NAT和PAT:
• 基於目的地址的NAT:包括目的地址及端口的轉換
• 基於源地址的NAT:包括源IP地址及端口的轉換
目的及源NAT、PAT的組合
動態與靜態的地址轉換
NAT類型
SRX還提供第三種NAT:Static NAT
靜態地址翻譯:提供雙向NAT功能,由source static nat與destination static nat組合而成
目的NAT
目的NAT的兩種類型:
• Static NAT:此爲1對1的地址映射,此NAT沒有PAT端口轉換
• Rule-based NAT:基於動態地址池的地址映射,此NAT選擇是否做PAT端口轉換
VoIP ALGs 會動態產生allow-incoming表來允許數據進入內部網絡
靜態目的地址轉換
Sample topology:
Enable static destination NAT to host A using a public address of 100.0.0.1/32
將內網主機10.1.10.5與公網IP地址100.0.0.1綁定做一對一的靜態映射
一對一的地址轉換,在NETSCREEN中稱之爲MIP
靜態目的地址轉換
具體配置如下,destination-address定義爲公網IP地址
[edit security]
user@host# show
nat {
static {
rule-set r1 {
from zone untrust;
rule a {
match {
destination-address 100.0.0.1/32;
}
then {
static-nat prefix 10.1.10.5/32;
靜態目的地址轉換
set interfaces ge-0/0/0 unit 0 family inetaddress 222.0.0.1/27
set interfaces ge-0/0/1 unit 0 family inetaddress 192.168.1.1/24
set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.8/32
set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.7/32
set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all
set security natstaticrule-set static-natfrom zone untrust
set security nat static rule-set static-natrule 1 match destination-address222.0.0.6/32
set security nat static rule-set static-natrule 1 then static-natprefix 192.168.1.6/32
set security natstaticrule-set static-natrule 2 match destination-address222.0.0.7/32
set security natstaticrule-set static-natrule 2 then static-natprefix 192.168.1.7/32
set security natstaticrule-set static-natrule 3 match destination-address222.0.0.8/32
set security natstaticrule-set static-natrule 3 then static-natprefix 192.168.1.8/32
show security nat static rule 3
查看NAT對應關係 ,驗證NAT是否被外網發起訪問起命中,以排隊故障
靜態目的地址轉換
Reverse static source NAT is automatically enabled:
內網主機192.168.1.8如果發起訪問外網的請求,IP地址自動轉換爲222.0.0.8
Session is not created until triggered NAT與會話無直接關係,只有會話發起建立才能看到