Juniper SRX防火牆-NAT（一）

SRX 防火牆NAT配置

爲什麼地址轉換

NAT主要提供公網、私網IP地址之間的轉換，同時也支持端口轉換

NAT路由缺失、路由衝突時，可以通過轉換地址來解決

安全考慮，對外隱藏服務器真實IP

SRX報文處理過程

NAT轉換地址必須知道

我們需要第一步先確認、規劃好對外提供轉換的虛IP,(比如說公網IP）

Ø 一對一服務器端口映射：適用於就一臺服務器，對外提供多個服務功能；

問題：不能從外網管理防火牆咧！

Ø 基於端口服務器端口映射：適用於多臺服務器，分別對外提供多個服務功能；

可以對多臺服務器來做，外網端口和服務器端口可以不一樣！

Ø 內網訪問公網，源NAT，即將內網地址轉換爲公網接口地址訪問公網

注意：一個公網地址只能支持最大64000個會話

當NAT的公網地址和公網接口是在同一網段時，需要啓用NAT Proxy ARP，使得SRX對端設備能夠解析到此公網地址的MAC address，便於返回報文能夠正常發送至SRX防火牆

Proxy ARP

當我們的公網接口地址不夠用，或同段地址用完了，我們需要再向運營商申請一些公網，這些地址與接口地址，不在同一個子網段。

對端需要將本段路由指向防火牆外網接口IP牆上不需要做其他處理，可直接NAT

[edit security nat]

user@host# show

proxy-arp {

interface ge-0/0/3.10 {

address {

1.1.70.10/32 to 1.1.70.100/32;

}

NAT轉換地址必須知道

當我們的公網接口地址不夠用，或同段地址用完了，我們需要再向運營商申請一些公網，這些地址與接口地址，不在同一個子網段。

對端需要將本段路由指向防火牆外網接口IP牆上不需要做其他處理，可直接NAT

網絡地址轉換

NAT主要提供公網、私網IP地址之間的轉換，同時也支持端口轉換

NAT類型

兩種類型的 NAT和PAT:

• 基於目的地址的NAT：包括目的地址及端口的轉換

• 基於源地址的NAT：包括源IP地址及端口的轉換

目的及源NAT、PAT的組合

動態與靜態的地址轉換

NAT類型

SRX還提供第三種NAT：Static NAT

靜態地址翻譯：提供雙向NAT功能，由source static nat與destination static nat組合而成

目的NAT

目的NAT的兩種類型：

• Static NAT：此爲1對1的地址映射，此NAT沒有PAT端口轉換

• Rule-based NAT：基於動態地址池的地址映射，此NAT選擇是否做PAT端口轉換

 

VoIP ALGs 會動態產生allow-incoming表來允許數據進入內部網絡

靜態目的地址轉換

Sample topology:

 Enable static destination NAT to host A using a public address of 100.0.0.1/32

將內網主機10.1.10.5與公網IP地址100.0.0.1綁定做一對一的靜態映射

一對一的地址轉換，在NETSCREEN中稱之爲MIP

靜態目的地址轉換

具體配置如下，destination-address定義爲公網IP地址

[edit security]

user@host# show

nat {

static {

rule-set r1 {

from zone untrust;

rule a {

match {

destination-address 100.0.0.1/32;

}

then {

static-nat prefix 10.1.10.5/32;

靜態目的地址轉換

set interfaces ge-0/0/0 unit 0 family inetaddress 222.0.0.1/27

set interfaces ge-0/0/1 unit 0 family inetaddress 192.168.1.1/24

set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.8/32

set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.7/32

set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all

set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all

set security natstaticrule-set static-natfrom zone untrust

 

set security nat static rule-set static-natrule 1 match destination-address222.0.0.6/32

set security nat static rule-set static-natrule 1 then static-natprefix 192.168.1.6/32

 

set security natstaticrule-set static-natrule 2 match destination-address222.0.0.7/32

set security natstaticrule-set static-natrule 2 then static-natprefix 192.168.1.7/32

 

set security natstaticrule-set static-natrule 3 match destination-address222.0.0.8/32

set security natstaticrule-set static-natrule 3 then static-natprefix 192.168.1.8/32

 

show security nat static rule 3

查看NAT對應關係 ，驗證NAT是否被外網發起訪問起命中，以排隊故障

靜態目的地址轉換

Reverse static source NAT is automatically enabled:

內網主機192.168.1.8如果發起訪問外網的請求，IP地址自動轉換爲222.0.0.8

Session is not created until triggered NAT與會話無直接關係，只有會話發起建立才能看到