Table des matières:
- Configurer le NAT source en utilisant l'adresse de l'interface de sortie
- Configurer un pool de traduction NAT source
Vidéo: Step by Step How to configure Juniper SRX firewall using GUI or HTTP,HTTPS access and Management Int 2024
NAT peut traduire les adresses de différentes façons. Vous pouvez configurer des règles à appliquer au trafic pour voir quel type de NAT doit être utilisé dans un cas particulier. Vous pouvez configurer le SRX pour qu'il exécute les services NAT suivants:
-
Utilisez l'adresse IP de l'interface de sortie.
-
Utilisez un pool d'adresses pour la traduction.
Habituellement, vous n'incluez pas les deux premiers services sur le même SRX, car ils sont entièrement différents. Donc, si vous en faites un, vous ne pouvez pas faire l'autre en même temps. Mais vous pouvez trouver des raisons d'utiliser la traduction de sortie sur une interface et un pool sur une autre interface.
Configurer le NAT source en utilisant l'adresse de l'interface de sortie
Vous devez d'abord créer un jeu de règles appelé internet-nat avec un nom distinctif et établir le contexte du trafic que vous appliquez NAT. Dans ce cas, la règle s'applique au trafic de la zone LAN des administrateurs à toute zone non fiable (non fiable). Vous pouvez également spécifier des interfaces ou des routeurs virtuels, mais il est préférable de penser à tout sur le SRX en termes de zones.
root # éditer la sécurité nat source rule-set internet-nat [éditer la sécurité nat source rule-set internet-nat] root # définir depuis la zone admins root # régler sur zone non fiable
Maintenant, vous configurez la règle actuelle (admins-access) qui correspond à tout le trafic LAN allant vers n'importe quel emplacement et applique le NAT aux paquets:
[éditez la sécurité nat source rule-set internet-nat] root # éditez la règle admins-access [éditer la sécurité nat source règle-règle Internet-nat rule admins-access] root # régler l'adresse source 192. 168. 2. 0/24 root # régler l'adresse de destination match tout root # définir puis l'interface source-nat
La dernière ligne définit la traduction de la source NAT sur l'interface de sortie. Voici à quoi ça ressemble:
[éditer la sécurité nat] source {rule-set internet-nat {de {zone admins;} à {zone non fiable;} rule admins-access {match {source-address 192. 168. 2 0/24; adresse de destination 0. 0. 0. 0/0;} puis {source-nat interface;}}}
Configurer un pool de traduction NAT source
Dans de nombreux cas, l'espace d'adressage alloué à une interface n'est pas suffisant pour couvrir toutes les adresses dans le réseau local. Si tel est le cas, il est préférable d'établir un pool d'adresses que les périphériques du réseau local peuvent utiliser lorsqu'ils envoient du trafic en dehors de la zone sécurisée.
Pour reconfigurer l'exemple précédent afin d'utiliser un pool d'adresses IP, vous devez d'abord configurer le pool, public_NAT_range. Ici, vous utilisez un petit groupe de six adresses:
[éditer la source de sécurité nat] root # définir le pool public_NAT_range l'adresse 66. 129. 250. 10 à 66.129. 250. 15
Cette structure d'instructions vous permet de modifier les pools à un endroit plutôt que dans tous les jeux de règles. Vous appliquez le pool au niveau de la hiérarchie NAT:
[éditez la source nat] root # éditez le jeu de règles internet-nat rule admins-access [éditez la sécurité nat source rule-set internet-nat rule admins-access] root # set then source-nat pool public_NAT_range
Une seule instruction change vraiment, mais cela fait toute la différence:
[éditer la sécurité nat] source {rule-set internet-nat {from {zone admins;} {zone non fiable;} rule admins-access {match {adresse-source 192. 168. 2. 0/24; adresse-destination 0. 0. 0. 0/0;} puis {source-nat pool public_NAT_range;}}}
