Como excluir tráfego de nat em um srx junos

Video: Juniper Learning Bytes: SRX Series Topics

Depois de configurar serviços SRX NAT usando a interface de saída ou o método piscina, você pode criar uma regra para excluir determinado tráfego a partir do processo NAT. Esta configuração pode ser feito para permitir que certos servidores (como um web público ou site FTP) para ter endereços IP públicos em outro espaço privado endereço LAN, mas a escolha é realmente até o administrador da rede.

Naturalmente, você precisa de uma nova regra. Este aplica-se a 192.168.2.2 e é chamado NO_translate:

[Segurança source nat conjunto de regras internet-nat editar] root # regra definida NO_translate

Agora, você precisa de uma regra de correspondência e de acção para a nova regra que você pode transformar NAT off para 192.168.2.2, como mostrado aqui:

Video: SRX Source NAT Learning Byte

[Editar fonte nat segurança de conjunto de regras internet-nat regra NO_translate] root # set jogo fonte endereço 192.168.2.2/32root# definido, então source-nat off


Pode parecer que você está feito, mas você não é.

Video: Popular Juniper Networks & Firewall videos

Se você cometer Nesta configuração, o SRX continua a traduzir 192.168.2.2, mesmo que a regra é bom eo SRX não deve traduzi-lo.

Eis o que aconteceu: A ordem das regras é estabelecida pela ordem em que eles estão configurados no CLI. o NO_translate regra foi adicionado depois de configurado o básico admins de acesso regra, de modo que o NO_translate regra foi simplesmente adicionado após o existente admins de acesso regra. Infelizmente, por causa admins de acesso corresponde todo o espaço de endereço LAN (192.168.2.0/24), O trânsito não é deixado para o NO-traduzir regra para combinar!

Esta é uma questão política comum com Junos e é bastante fácil de corrigir. Uma declaração coloca a regra na ordem correta:

[Editar fonte nat de segurança Internet de nat de conjunto de regras] NO_translate regra root # inserção antes de regras administradores de acesso

Sempre certifique-se suas regras configuradas estão na ordem correta para alcançar os resultados desejados. Como o número de regras cresce, a possibilidade de erro cresce ainda mais rápido.


Publicações relacionadas