Vidéo: Lesson 16: How to Take Control of a Firewall Migration Project 2024
Après avoir configuré les services NAT SRX en utilisant l'interface de sortie ou la méthode pool, vous pouvez créer une règle pour exclure un certain trafic du processus NAT. Cette configuration peut être effectuée pour permettre à certains serveurs (tels qu'un site Web public ou FTP) d'avoir des adresses IP publiques sur un espace d'adressage LAN autrement privé, mais le choix revient en réalité à l'administrateur réseau.
Naturellement, vous avez besoin d'une nouvelle règle. Celui-ci s'applique à 192. 168. 2. 2 et s'appelle NO_translate:
[éditer la sécurité nat source règle-set internet-nat] root # définir la règle NO_translate
Maintenant, vous avez besoin d'une règle et d'une action de correspondance pour la nouvelle règle. 168. 2. 2, comme indiqué ici:
[éditer la sécurité nat source règle-set Internet-nat règle NO_translate] root # régler l'adresse source-source 192. 168. 2. 2/32 root # définir puis source- nat off
On dirait que tu as fini, mais tu ne l'es pas.
Si vous validez cette configuration, le SRX continue à traduire 192. 168. 2. 2, même si la règle est correcte et que le SRX ne doit pas la traduire.
Voici ce qui s'est passé: L'ordre des règles est établi par l'ordre dans lequel elles sont configurées dans la CLI. La règle NO_translate a été ajoutée après la configuration de la règle d'accès aux administrateurs de base, de sorte que la règle NO_translate a simplement été ajoutée après la règle d'accès admins existante. Malheureusement, parce que l'accès admins correspond à l'ensemble de l'espace d'adressage LAN (192. 168. 2. 0/24), aucun trafic n'est laissé pour que la règle de NO-translate corresponde!
Il s'agit d'un problème de politique commun avec Junos et il est assez facile à résoudre. Une instruction place la règle dans le bon ordre:
[éditez la sécurité nat source rule-set internet-nat] root # insérez la règle NO_translate avant la règle admins-access
Always assurez-vous que vos règles sont configurées ordre approprié pour atteindre les résultats que vous voulez. À mesure que le nombre de règles augmente, la possibilité d'erreur augmente encore plus rapidement.
