Difference between revisions of "NAT JUNOS"
From Teknologisk videncenter
m (→Fejlfinding) |
m (→Source NAT) |
||
| Line 12: | Line 12: | ||
Eksempler og referencer er tilrettet til behovet i diagrammet ovenfor men fundet i [[http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf Junipers NAT Guide]] | Eksempler og referencer er tilrettet til behovet i diagrammet ovenfor men fundet i [[http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf Junipers NAT Guide]] | ||
==Source NAT== | ==Source NAT== | ||
| + | Ydersiden er forbiundet til en access port i vlan 99 og indersiden er forbundet til en access port i vlan 10. For hver af de 2 vlans er der oprettet et RVI: '''vlan.10 for VLAN 10''' og '''vlan.99 for VLAN 99''' | ||
| + | <source lang=cli> | ||
| + | [edit] | ||
| + | rael@SRX240# <input>show interfaces vlan</input> | ||
| + | unit 10 { | ||
| + | family inet { | ||
| + | address 10.0.255.1/24; | ||
| + | } | ||
| + | } | ||
| + | unit 99 { | ||
| + | family inet { | ||
| + | dhcp; | ||
| + | } | ||
| + | } | ||
| + | </source> | ||
| + | Hvert RVI interface er smidt i en security zone kalder trust for LAN netværket(10.0.255.0/24) og untrust for WAN netværket(192.168.146.0/24). | ||
| + | <source lang=cli> | ||
| + | [edit] | ||
| + | rael@SRX240# <input>show security zones security-zone trust</input> | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | all; | ||
| + | } | ||
| + | protocols { | ||
| + | all; | ||
| + | } | ||
| + | } | ||
| + | <notice>interfaces { | ||
| + | vlan.10; | ||
| + | }</notice> | ||
| + | |||
| + | [edit] | ||
| + | rael@SRX240# <input>show security zones security-zone untrust</input> | ||
| + | screen untrust-screen; | ||
| + | interfaces { | ||
| + | vlan.99 { | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | dhcp; | ||
| + | tftp; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </source> | ||
| + | Source NAT reglen er lavat så alt traffik der kommer fra et interface i en trust zone og bliver routet til et interface i untrust zonen, bliver NAt'et til ydersidens IP adresse. | ||
| + | Alt trafik er tilladt. | ||
| + | <source lang=cli> | ||
| + | [edit] | ||
| + | rael@SRX240# <input>show security nat source</input> | ||
| + | rule-set trust-to-untrust { | ||
| + | from zone trust; | ||
| + | to zone untrust; | ||
| + | rule source-nat-rule { | ||
| + | match { | ||
| + | source-address 0.0.0.0/0; | ||
| + | } | ||
| + | then { | ||
| + | source-nat { | ||
| + | interface; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </source> | ||
| + | Da vi arbejder på en SRX i Flow-mode skal trafikken også tillades i en politik. Som default tillader vi fra alt, til alt, på alle protokoller. | ||
| + | <source lang=cli> | ||
| + | [edit] | ||
| + | rael@SRX240# <input>show security policies</input> | ||
| + | from-zone trust to-zone untrust { | ||
| + | policy trust-to-untrust { | ||
| + | match { | ||
| + | source-address <notice>any</notice>; | ||
| + | destination-address <notice>any</notice>; | ||
| + | application <notice>any</notice>; | ||
| + | } | ||
| + | then { | ||
| + | permit; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </source> | ||
==Fejlfinding== | ==Fejlfinding== | ||
Revision as of 17:33, 11 January 2015
Juniper SRX enheder arbejder med 3 forskellige typer nat
- Static NAT
- One-to-one
- Bruges som regl til at oversætte en offentlig adresse til en privat adresse på intersiden. Static NAT er 2-vejs, det vil sige at en nat regl tillader pakker fra inderside host til yderside og fra yderside til inderside.
- Source NAT
- Many-to-one
- Source nat bruges oftest til at tillade flere private inderside adresser at blive oversat til 1 eller flere offentlige yderside adresser.
- Destination NAT
- One-to-many
- Bruges som regl til at præsentere inderside servere på internettet.
Konfigurations eksempler
Eksempler og referencer er tilrettet til behovet i diagrammet ovenfor men fundet i [Junipers NAT Guide]
Source NAT
Ydersiden er forbiundet til en access port i vlan 99 og indersiden er forbundet til en access port i vlan 10. For hver af de 2 vlans er der oprettet et RVI: vlan.10 for VLAN 10 og vlan.99 for VLAN 99
[edit]
rael@SRX240# <input>show interfaces vlan</input>
unit 10 {
family inet {
address 10.0.255.1/24;
}
}
unit 99 {
family inet {
dhcp;
}
}Hvert RVI interface er smidt i en security zone kalder trust for LAN netværket(10.0.255.0/24) og untrust for WAN netværket(192.168.146.0/24).
[edit]
rael@SRX240# <input>show security zones security-zone trust</input>
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
<notice>interfaces {
vlan.10;
}</notice>
[edit]
rael@SRX240# <input>show security zones security-zone untrust</input>
screen untrust-screen;
interfaces {
vlan.99 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
}Source NAT reglen er lavat så alt traffik der kommer fra et interface i en trust zone og bliver routet til et interface i untrust zonen, bliver NAt'et til ydersidens IP adresse. Alt trafik er tilladt.
[edit]
rael@SRX240# <input>show security nat source</input>
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}Da vi arbejder på en SRX i Flow-mode skal trafikken også tillades i en politik. Som default tillader vi fra alt, til alt, på alle protokoller.
[edit]
rael@SRX240# <input>show security policies</input>
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address <notice>any</notice>;
destination-address <notice>any</notice>;
application <notice>any</notice>;
}
then {
permit;
}
}
}