Juniper SRX Destination NAT中内网访问映射地址问题

最新推荐文章于 2023-09-04 14:28:20 发布
最新推荐文章于 2023-09-04 14:28:20 发布
阅读量4.9k 收藏 1
点赞数
分类专栏: 防火墙
网络设备:
Juniper SRX系列防火墙
 
网络拓扑:
 


问题描述:
在实现Destination NAT的时候,如果需要从内网访问映射后的公网地址,默认会有一些问题,在内网可以ping 通映射地址,但是不能访问服务;
 
问题分析:
 
[edit security]
set zones security-zone trust address-book address server-2 192.168.1.200/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address server-2 application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-2 address 192.168.1.200 port 8000
set rule-set rs1 from zone untrust
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 1.1.1.101
一般的我们如上配置完设备后,外网用户便可以访问映射地址了,但是如果内网用户访问会有问题,不能通过1.1.1.101访问服务;
原因是内部地址访问1.1.1.101的时候,防火墙不做地址转换,将内网地址路由给目的服务器,服务器会看到这个地址,回包的时候直接把数据包回给这个内网地址,TCP形成一个半连接,故服务不能访问。
 
 
解决办法:
来自信任区域的访问也做一次destination nat,需要添加以下命令;
 
[edit security nat destination]
set rule-set rs1 from zone trust
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
ztejiagn
关注
专栏目录
Juniper SRX550防火墙NAT配置
biyan3550的博客
07-07 1109
一、Source NAT对于不需要做NAT的网段(比如IPSec×××),需要先关闭这些地址NAT(如果没有则跳过)set security nat source rule-set trust-untrust rule no-nat match source-address 192.168.0.0/16set security nat source rule-set tru...
内网服务器做了映射还是无法用公网访问,内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障分析...
weixin_36296064的博客
08-02 5345
记得很早之前有帮大学同学处理过一个内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障,记得红茶三杯老师有篇博文有做过很详细的分析,现转载过来分享给大家,原文如下:关于“内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障”,正好最近有个兄弟问到这个问题,所以稍做解析,这个案例虽然简单,但是具有一定的代表性(本例以华为防火墙做讲解,技术原理类似)。 在上图所示的网络,PC Sta...
Juniper 防火墙端口映射命令全集
11-17
Juniper 防火墙端口映射命令全集
juniper SRX 地址端口映射设置
Caomeinico的博客
10-26 917
需求说明:外网IP:123.123.123.123:22222 映射 内网 10.100.200.22:22 定义内网地址池(ssh-22)和端口号 set security nat destination pool ssh-22 address 10.100.200.22/32 set security nat destination pool ssh-22 address port 22 定义外网地址端口 edit security nat destination #进入nat dest
juniper SRX 地址映射
weixin_34409357的博客
11-06 946
需求说明:公网122.93.43.122:16927 映射 内网 10.100.124.200:80 定义内网地址set security nat destination pool srv200-80 address 10.100.124.200/32定义内网端口号set security nat destination pool srv200-80 address port 80定义公网地...
Juniper防火墙端口映射
weixin_33682790的博客
12-01 475
Juniper端口映射(vip)命令行设定 1.自定义服务端口 ssg20-> set service ”web1“ protocol tcp src-port 0-65535 dst-port “8810-8810” 注:添加自定义服务端口 2.添加VIP服务 ssg20->set interface ethernet0/0 vip interface...
junipersrx防火墙-nat实际现网配置实例.pdf
09-30
junipersrx防火墙-nat实际现网配置实例.pdf
JuniperSRX防火墙配置管理手册.pdf
05-18
地址转换是 SRX 防火墙的一项重要功能,本手册介绍了 Interface based NAT 基于接口的源地址转换、Pool based Source NAT 基于地址池的源地址转换、Pool base destination NAT 基于地址池的目标地址转换、Pool base ...
Juniper SRX防火墙ICMP-Traceroute
往年之事
12-01 977
通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数,Junos-OS提供是的默认参数命令Hidden的,junos-defaults group包含了预定义的参数和通用的应用状态; Junos-OS软件使用的提供的Traceroute的应用配置如下所示: Traceroute application: application junos-traceroute { application-protocol traceroute; protocol udp; d
Juniper防火墙的网络地址映射
02-25
Juniper防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内网访问,如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能,这里介绍两个最常用的方式MIP和VIP
Juniper防火墙新手教程18:Juniper防火墙的网络地址映射
12-14 786
Juniper防火墙作为网络的一道关卡,除了控制内网用户访问外网之外还可以控制外网对内网访问,如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能,这里介绍两个最常用的方式MIP和VIP。 Juniper 防火墙MIP的配置 MIP(Mapped IP)是“一对一”的双向地址翻译(转换)过程。 通常的情况是:当你有若干个公网IP地址,又存在若干...
Juniper SRX300系列 —— 防火墙端口映射配置详解
茉清语
09-04 1026
静态端口映射:就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。
Juniper防火墙基于策略NAT实现与接口不同网段公网IP对内网地址映射
weixin_33795743的博客
08-15 756
应用环境: 公网映射地址和外接口地址不在同一个网段,VIP不能实现,VIP要求这些地址必须和接口地址在同一个网段。 MIP可以实现和外接口地址不在同一个网段的公网地址映射内网地址,但是如果需要做端口的转换,只能用基 于策略的NAT来实现,例如 外网IP 的1022 端口只能转换成内网IP的22端口. 实现方式: 定义地址薄 Untr...
Juniper SRX300系列 —— 防火墙DMZ配置详解
茉清语
08-29 617
上一章节已全面详解了SRX300防火墙的基础配置,本次详解将带入DMZ(服务器)安全域的配置。
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 1893
直接上配置,IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
关于Juniper SSG或ISG系列防火墙配置NAT映射(VIP)时的 Server Auto Enable参数问题
liuhuayeyu的博客
11-24 2596
记录一下Juniper SSG或者ISG 系列防火墙上配置一对多NAT映射 VIP(Viritual Internet Protocol)时碰到的一个特殊的问题,就是在内部服务器ICMP报文被阻断的情况下,启用VIP的Server Auto Enable 功能引起的NAT映射失效问题,希望可以给碰到相同问题的人一些参考。 测试平台:Juniper ISG 10...
juniper srx解决内网不能telnet公网IP的方法
weixin_34050005的博客
07-28 473
juniper srx做好基于目的地址池的映射后外网可以telnet a.a.a.a 22(a.a.a.a为公网IP),但是内网不能telnet a.a.a.a 22。具体解决方法:/*/源地址转换的配置主要用于当数据包的目标地址为192.168.1.251的时候,trust区域会先做一个NAT转换成接口地址,然后服务器会把数据包返回给防火墙的trust,而不会走向untru...
Juniper SRX 240 Source Nat & Destination Nat
weixin_34318956的博客
12-28 879
NAT 和 目的 NAT 的区别: Source Nat 业务场景:内网地址访问外部地址、资源时使用;源地址是转换前的内网地址,目标地址是转换后的公网地址。 方向【源/内网地址 ------转换为-------目的/公网地址】; Destination Nat 业务场景:从公网访问内部特定IP或特定IP的特定端口时使用;源地址是转换前的公网地址,目的地址是转换后的内网IP或IP:port....
juniper srx340 配置端口映射
最新发布
10-03
配置Juniper SRX340的端口映射可以按照以下步骤进行: 1. 首先,进入设备的操作系统(Junos OS)的配置模式。可以通过telnet、SSH或串行控制台等方式登录设备。 2. 然后,进入设备的配置模式。使用命令"configure"进入配置模式。 3. 接下来,进入安全区域的配置模式。使用命令"set security zones security-zone <zone-name>"进入所需配置的安全区域的配置模式。例如,如果想要配置的安全区域名称为"trust",则命令为"set security zones security-zone trust"。 4. 设置允许端口映射的规则。使用命令"set interfaces <interface-name> host-inbound-traffic system-services <service-name>"来配置允许进入该接口的服务。例如,若要允许SSH服务进入eth0/0/0接口,命令为"set interfaces ge-0/0/0 host-inbound-traffic system-services ssh"。 5. 配置端口映射。使用命令"set security nat destination pool <pool-name> address <internal-ip> port <internal-port> to <external-ip> port <external-port>"来配置端口映射规则。其,<pool-name>为创建的端口映射池名称,<internal-ip>和<internal-port>为内部IP地址和端口号,<external-ip>和<external-port>为外部IP地址和端口号。例如,要配置将外部IP地址的TCP 80端口映射到内部服务器的TCP 8080端口上,命令为"set security nat destination pool web-server address 192.168.1.100 port 8080 to 203.0.113.10 port 80"。 6. 最后,保存配置并退出配置模式。使用命令"commit"保存配置,并使用命令"exit"退出配置模式。 以上是配置Juniper SRX340端口映射的基本步骤,根据具体需求可能会有所差异,建议在实际操作时参考相关官方文档或咨询Juniper的技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值