Opções nat tradução de endereço de fonte em junos
serviços de segurança não são os únicos serviços fornecidos pelo SRX (embora os serviços de segurança são os mais vital). Você pode configurar outros serviços, tais como NAT tradução de endereços de origem, também. Em essência, o NAT deve apenas ser configurado para estender a utilidade de endereços IP. NAT faz isso por substituição de um conjunto de informação de endereço de cabeçalho de pacote para um outro, de acordo com uma regra configurada.
Conteúdo
Alguns consideram NAT como uma espécie de serviço de segurança. No entanto, NAT não pretende ser um serviço de segurança. No entanto, também é verdade que disfarçando endereço de origem real do host (e porta!) Fornece uma medida de segurança não prontamente disponíveis através de outros meios.
Por padrão, as rotas SRX pacotes que passarem nos testes de política de segurança, mas não traduzem os endereços IP de origem e de destino. Os pacotes que fluem através de uma sessão de demonstrar este ponto. Note-se que o Dentro e Fora endereços estão inalterados como os pacotes de fluxo para o destino e de volta.
raiz# mostrar sessão de fluxo de segurançaSession ID: 100001790, nome Política: admins_to_untrust / 4, Timeout: 1800In: 192.168.2.2/4781 → 209.239.112.126/80-tcp, Se: ge-0/0 / 0.0Out: 209.239.112.126/80 → 192.168.2.2 / 4781-tcp, Se: ge-0/0 / 2,0 ...
Você pode configurar o NAT para fornecer este serviço de tradução de endereços no SRX com bastante facilidade.
Três grandes opções NAT estão disponíveis no SRX: fonte de destino, e estático. Os dois primeiros traduzir os endereços de origem ou de destino com base em um conjunto de endereços, enquanto que a última opção mapeia estaticamente endereços de um para outro (de modo que os servidores e impressoras de rede têm estável, mas escondido, endereços).
Depois de decidir sobre a opção NAT você quiser, você pode ajustar outras opções. Especificamente, a opção disponível é uma escolha entre o uso de tradução da interface da fonte ao egresso ou traduzir a porta eo endereço IP (tecnicamente, este é NATP - NAT com portas - mas NAT pessoas frustrantemente só tendem a chamar tudo NAT).
Note-se que para além de tradução do endereço de IP de origem para o endereço de IP na saída interface ge-0/0/2, o SRX traduz também a porta de origem. Esta é uma forma muito comum de NAT que oculta os endereços IP locais privados e portos a partir da Internet pública global.
Video: como colocar letra personalizaa no seu nome de perfil do FACEBOOK! funcional
No entanto, é preciso lembrar que o SRX não foi projetado para diferenciar entre uma LAN “privado” e da Internet “pública”. O SRX conhece apenas zonas, e estes devem ser configurados corretamente para prestar o serviço NAT esperado.
Além disso, embora as regras NAT pode parecer muito com uma política de segurança, o SRX trata o serviço NAT independentemente do serviço de segurança (as regras NAT estão sob um separado [Nat segurança editar] hierarquia).
Video: Globalsat gs 300 Atualizando e configurando
Esta característica permite que regras de NAT para ser ajustado sem afetar as políticas de segurança, mas também exige uma análise cuidadosa. NAT tem nada a ver com o fato de que um pacote é accepted- apenas as políticas de segurança pode fazer isso.