Настройка Destination NAT на Juniper SRX

Допустим у нас есть ресурсы внутри сети, которая находится за Firewall-ом, на которые мы хотим попадать снаружи, для этого используется destination NAT.

К примеру наш SRX имеет внешний адрес 10.10.10.6 а внутренняя сеть имеет адресацию 192.168.0.0/24 и в этой сети у нас есть хост 192.168.0.5 к которому нам нужен доступ по 22 порту, задача весьма тривиальная, давайте посмотрим как это реализовать на Juniper SRX. Для конфигурации NATа перейдем в режим configure

root@srx> configure

затем перейдем в то место конфигурации, где описывается destination NAT

root@srx# edit security nat destination

теперь создаем, так называемый «pool» даем ему имя и указываем адрес (или подсеть) и порт куда будем перенаправлять трафик.

[edit security nat destination]
root@srx# edit pool POOLNAME

[edit security nat destination pool POOLNAME]
root@srx# set address 192.168.0.5/32 port 22

[edit security nat destination pool POOLNAME]
root@srx#up

Теперь перейдем непосредственно к правилу NATа Сначала соpдаем rule-set, указываем из какой зоны будет трафик, а в нем уже создаем само правило, итак:

[edit security nat destination]
root@srx# edit rule-set RULE-SET_NAME

[edit security nat destination rule-set RULE-SET_NAME]
root@srx# set from zone untrust

[edit security nat destination rule-set RULE-SET_NAME]
root@srx# edit rule RULE_NAME

[edit security nat destination rule-set RULE-SET_NAME rule RULE_NAME]
root@srx# set match destination-address 10.10.10.6

[edit security nat destination rule-set RULE-SET_NAME rule RULE_NAME]
root@srx# set match destination-port 22

[edit security nat destination rule-set RULE-SET_NAME rule RULE_NAME]
root@srx# set then destination-nat pool POOLNAME

Таким образом мы записали в конфиг, чтобы SRX перенаправлял весь трафик из зоны untrust, который приходит на его внешний IP 10.10.10.6 порт 22 на хост 192.168.0.5 порт 22.




Естественно это будет работать при условии если соответствующим образом настроены policy, т.е. должен быть разрешен трафик из зоны untrust в зону trust на нужный нам адрес, в данном случае на 192.168.0.5/32

Ну что-же, теперь не забываем сделать commit и проверяем работоспособность. Из операционного режима можно воспользоваться командой

root@srx> show security nat destination rule RULE_NAME

Мы увидим счетчик срабатывания правила:

Rule-Id : 0
Rule position : 0
Destination addresses : Any
Destination port : 0
Translation hits : 0

Строка  Translation hits указывает на количество срабатываний. НО стоит отметить, что правила ната отрабатывают до прохождения через policy, поэтому если на счетчике что то есть а доступа все-же нет, нужно проверять policy.

Настройка Destination NAT на Juniper SRX: 3 комментария

  1. Подскажите, пожалуйста, я не очень хорошо разбираюсь в сетевых технологиях,
    но если нужно решить конкретную задачу, а именно, с помощью SRX240 перенаправить трафик, приходящий на один белый IP на одной площадке, на другой белый IP на другой площадке, то правильно понимаю, что destination nat в этом поможет? Т.е. пакеты не нужно пропускать в LAN, а нужно перенаправить на другой хост в inet с другим белым IP. Достаточно будет для работы такой схемы, если я вместо IP адреса и номера порта хоста из LAN в настройках pool буду использовать белый IP адрес и номер порта? Или еще нужно какую-то хитрую политику настраивать для этого?

    1. Здравствуйте, Андрей. Такая схема работать не будет, трансляция возможна только на directly connected сеть т.е. на сеть к которой непосредственно подключено устройство (в нашем случае SRX).

  2. Играюсь с НАТом, странно но работает только в таком виде:
    set security nat source rule-set trust-to-untrust from zone trust
    set security nat source rule-set trust-to-untrust to zone untrust
    set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
    set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface
    если добавить в сорс сетки которые описаны в адресбуке, а в дестинайшен 0.0.0.0/0 трансляция не происходит.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *