Junos静态NAT+端口映射
精选 转载文章标签 Junos 静态NAT+端口映射 文章分类 服务器
Junos静态NAT+端口映射
要建立junos的静态NAT和端口映射关系,那么需要先明白一些事情,尤其是它与screen os的区别,它与screen os的区别在于以下三点
<!--[if !supportLists]-->1、 <!--[endif]-->在screen os里面,做公网与私网一对一的映射的功能叫做MIP,而在junos里面叫做静态NAT
<!--[if !supportLists]-->2、 <!--[endif]-->在screen os里面,在对MIP所对应的主机开放端口时,是需要调用刚才建立的MIP关系,而在junos 里面则不用
<!--[if !supportLists]-->3、 <!--[endif]-->Junos在建立完静态映射之后,需要在建立一条proxy-arp的概念
明白这三点以后,接下来还要了解一下junos的静态NAT的工作方式:当广域网的机器在访问公司的服务器的某个端口的时候,是先访问这台服务器的公网IP——公网IP在通过静态NAT找到服务器的私网IP——服务器的私网IP在去找发布的策略——发布的策略在去调用刚刚建立的地址和应用
环境模拟:
一台juniper SRX 650防火,系统为junos,untrsut口地址是211.147.75.194/27,trust口地址为10.10.8.1/7,现在trust下面连接一台服务器10.10.11.11,现在外面用户希望在通过公网IP211.147.75.208来远程访问10.10.11.11这台服务器的3389端口
先用CLI命令来进行配置
全局下的基本配置
1、配置端口IP及路由
set interfaces ge-0/0/0 unit 0 family inet address 211.147.75.194/27
#配置untrust口的地址是211.147.75.194,默认ge-0/0/0端口是untrust口,至于为什么用unit 0我确实不清楚,配置完后,你不会看到ge-0/0/0的IP地址是211.137.75.194,而是看到ge-0/0/0.0的一个子接口的IP地址是211.147.75.194
set interfaces ge-0/0/1 unit 0 family inet address 10.10.8.1/8
#配置一个内网的端口的IP地址是10.10.8.1/8,同理,你不会看到ge-/0/01的IP是10.10.8.1,你只能看到一个子接口ge-0/0/1.0的IP地址是10.10.8.1
set routing-options static route 0.0.0.0/0 next-hop 211.147.75.193
#配置一条默认路由,下一跳网网是211.147.75.193,这是我们ISP的网关
set system name-server 8.8.8.8
#配置DNS为8.8.8。8
2、建立远程登陆用户
set system login user test uid 2000
#建立一个登陆的用户test,它的UID是2000,默认也是以2000开始的
set system login user hdlxinyu class super-user
#设置该用户的权限是超级管理员
set system login user test uid 2000 authentication plain-text-password
输入密码:
在次输入密码
#设置该用户的密码,密码是名文方式,但是在显示的时候,会以加密的形式显示,官方不推荐用加密的方式来设置密码,所说是验证时会出现问题,我未做过相应偿试,所以无权反驳这个结论)
3、开启设备端口的服务
set system services telnet
#开启telnet服务,要想开启设备的某个端口下开启一个服务,那么首先要在配置模式下开启这个服务,比如我这里开启的telnet
set security zones security-zone untrust host-inbound-traffic system-services telnet
#定义访问这个服务的方向,当然是从untrust口流入的
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services telnet
#再在这个接口下面开启相对应的服务,如我现在将untrust口的telnet服务打开,同理开启webmanager/ftp/tftp/https等服务都是一样
4、定义一个静态NAT,将开放相应的端口
要求:将服务器地址为10.10.11.11/8的这台服务器的3389端口开放出去,外部用户在访问这台机器的3389时,用的公网IP是211.147.75.208/27
set security nat static rule-set static-nat from zone untrust
#做静态映射,因为我是做一个公网对私网的映射,所以方向是从untrust
set security nat static rule-set static-nat rule rule5 match destination-address 211.147.75.208/32
#定义一个NAT的名字叫做static-nat,规则叫做rule5,所匹配的公网IP地址是211.147.75.208/32(这里用32掩码是为了精确匹配这某一个公网IP)
set security nat static rule-set static-nat rule rule5 then static-nat prefix 10.10.11.11/32
#对于这条名叫static-nat规则是rule5的静态NAT,配置对应的私网IP地址10.10.11.11
set security nat proxy-arp interface ge-0/0/0.0 address 211.147.75.208/32
#最后在设置一条proxy-arp,端口是untrust端口,我的设备的untrust端口是ge-0/0/0.0,在写上要对应的公网IP
接下来就需要做策略的调用
注意:junos和screen OS在NAT/MIP的不同之处在于,screen os在做完MIP映射之后,还需要做一条对映的策略,这条策略的目的是用来发布MIP所建立的公网与私网的关系,而junos的不同之处在于,它在做完静态NAT映射之后,也需要用策略来发布所做的映射,唯一不同的是,在这里是不需要调用刚刚所做的NAT映射的)
set applications application remote-3389 protocol tcp
#建立一条应用名字叫做remote-3389,所用到的协议是TCP
set applications application remote-3389 source-port 1-65535
#设置该应用的源端口是所有,通常写成1-65535
set applications application remote-3389 destination-port 3389
#设置该应用的目的端口是3389
set security zones security-zone trust address-book address 10.10.11.11 10.10.11.11/32
#建立一个地址簿,名字叫做10.10.11.11,所对应的地址是10.10.11.11/32,因为这个地下是trust端口的地址,所以在选择区域的时候,需要选择trust
set security policies from-zone untrust to-zone trust policy CE-3850-policy match
destination-address 10.10.11.11
#建立一条策略,策略的名字叫做CE-3850,所匹配的目地地址是刚刚建立的名字叫做10.10.11.11的地址,方向是从untrust到trust
set security policies from-zone untrust to-zone trust policy CE-3850-policy match application remote-3389
#在这条策略上面调用remote-3389这个应用
现在就已经将211.147.75.208-10.10.11.11所对映的这条NAT关系的3389端口开放出去了
整理一下思路,要做一条MIP映射,并且要开放端口,步骤是
建立NAT映射关系
建立proxy-arp地址
建立一条应用
建立一个地址
建立二条策略调用地址和应用
接下来用图形界面来演示
1、配置untrust口IP地址为211.147.75.208/27
用IE登入设备后,点击Interfaces-Link Aggregation,在点右上角的Edit,默认灰色的是无法输入,zone区域输入untrust,选择IPV4 Address,Add,输入ISP提供的公网地址211.147.75.208/27
2、配置trust口地址为10.10.8.1/7
点击Interfaces,Link Aggregation,Eddit,zone区域选择trust,选择IPV4 Address,Add,输入trust口地址10.10.8.1/7
3、添加一条默认路由
点击Routing,Static Routing,选择IPV4,IP address输入0.0.0.0,Subnet mask输入0.0.0.0,在点击Add,输入下一跳网关211.147.75.193
4、添加一个超级管理员用户,用来远程telnet或者http管理
点击System Properties,Edit,User Mangerment,user id输入2000,输入密码,确认密码,login class选择super-user,点击Add
5、开启untrust端口的telnet/http/https服务,但首先需要在配置模式下开启
点击system properties,Edit,managerment access,managerment,勾选Enable telnet/Enable HTTP/Enable HTTPS,最后选择所有的端口
6、开启端口下的telnet/http/https/等应用
点击Security,zones/screens,Main,选择端口ge-0/0/0.0,也就是untrust端口,在选择Host inbound traffic-zone,在下面的services里面选择telnet/http/https等服务
7、建立静态nat映射
点击Nat,static NAT,输入NAT名字static nat,在from区域里面选择untrust,点击Add,输入规则名字,rule5,输入destination address 211.137.75.208/32,输入static pprefex地址10.10.11.11/32
8、建立proxy arp关系
点击nat,proxy arp,Add,在interface里面选择ge-0/0/0.0,address/range里输入211.147.75.208,点击Add
9、建立一条3389的应用,名字叫作remote-3389
点击security,policy elements,applications,Add,在Application name里输入remote-3389,mattch ip protocol里输入tcp,destination port里输入3389,source port里输入1-65535
10、建立一个地址簿,因为是要访问10.10.11.11,而这个地址属于trust
点击security,policy elements,address book,Add,在zone里面选择trust,Address name里输入10.10.11.11(这个名字可以叫别的,我是为了以后区分方便就写了10.10.11.11),在下面的地址栏里输入10.10.11.11/32
11、建立一条策略,调用刚才设置的应用和地址
点击security,policy,FW Policies,Add,在policy name里输入test,在policy action里选择permit,在from zone里选择untrust,在to zone里面选择trust,在source address里选择any,在destination address里选择刚才建立的地址名称10.10.11.11,在下面的应用里选择remote-3389
到此,211.147.75.208-10.10.11.11对应的3389端口已开放成功
本文出自 “菜鸟往前飞” 博客,请务必保留此出处http://kqpynn.blog.51cto.com/1315025/843588
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
FFmpeg 7.0重大更新
FFmpeg 7.0 版本重大更新
音视频开发 ffmpeg 音视频编解码 C++11 C++17 -
Nginx 重啟/修改conf後生效
Nginx 重啟/修改conf後生效
运维 nginx Nginx 配置文件 -
JUNOS OLIVE LINKS
TEST
职场 休闲 JUNOS.OLIVE.LINK