网络安全与技术
网络安全与技术

Juniper SRX Destination NAT中内网访问映射地址解决办法

[ 已编辑 ]
修改时间 ‎11-09-2010 09:44 AM
网络设备:
Juniper SRX系列防火墙
 
网络拓扑:
问题描述:
在实现Destination NAT的时候,如果需要从内网访问映射后的公网地址,默认会有一些问题,在内网可以ping 通映射地址,但是不能访问服务;
 
问题分析:
 
[edit security]
set zones security-zone trust address-book address server-2 192.168.1.200/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address server-2 application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-2 address 192.168.1.200 port 8000
set rule-set rs1 from zone untrust
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 1.1.1.101
一般的我们如上配置完设备后,外网用户便可以访问映射地址了,但是如果内网用户访问会有问题,不能通过1.1.1.101访问服务;
原因是内部地址访问1.1.1.101的时候,防火墙不做地址转换,将内网地址路由给目的服务器,服务器会看到这个地址,回包的时候直接把数据包回给这个内网地址,TCP形成一个半连接,故服务不能访问。
 
 
解决办法:
来自信任区域的访问也做一次destination nat,需要添加以下命令
 
[edit security nat destination]
set rule-set rs1 from zone trust
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
城市不相信眼泪
7 条回复7
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎11-17-2010 02:17 PM

恩 工作中也遇到过这种问题 谢谢楼主提供的解决办法 总体思路就是内到外在做个策略

活着就要改变世界。
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎11-30-2010 11:48 AM

为什么内网用户访问服务器也要NAT呢?路由过去不好吗?也许不同的行业有不同的要求,金融行业向你这么做的多,是出于保护服务器地址重要性吧!!

网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎12-13-2010 04:53 PM

不进行转换的话,pc访问的地址是公网ip 但是服务器给回应的是按路由模式以自己私网地址回复。pc在收到这个包后发现源并不是当时发包的目的ip 所以丢弃

 

活着就要改变世界。
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎12-13-2010 05:53 PM

想问一下,如果是netscreen防火墙怎么解决这个问题

活着就要改变世界。
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎12-19-2010 10:22 PM

在运行 ScreenOS的 Juniper(NetScreen)防火墙,

如果使用MIP方式,发布内网服务器时,

ScreenOS 看到内网用户访问MIP的公网地址时,会自动回复给内网的私网地址的。不需要做额外的NAT配置。

 

记得当年对比 NetScreen 和 PIX 的时候,就会把这点当作NetScreen的优势呢。

 

不过 ScreenOS的 NAT 确实让很多用户很难理解的,他非常规。

————————————
@_@ 行者无疆 @_@
秉信回帖也是一种美德
————————————
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎04-01-2011 03:21 PM

配置没有问题,但是对解说那部分有点疑惑,内网pc访问1.1.101的时候,防火墙上面根本就没有这个地址的路由,直接就丢弃了,怎么能ping通呢?

Highlighted
网络安全与技术

回复: Juniper SRX Destination NAT中内网访问映射地址解决办法

修改时间 ‎04-07-2011 09:52 AM
只添加如下红色命令即可,代表从trust和untrust zone都做目的NAT
 
[edit security nat destination]
set pool dst-nat-pool-2 address 192.168.1.200 port 8000
set rule-set rs1 from zone untrust
set rule-set rs1 from zone trust  <==== 添加这条命令就可以了。
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
 
另外,楼主应该添加一条从trust到untrust的policy允许你从内网到公网映射地址的访问。
---------------------------------------------------
客户的反馈会让Junos越来越好~~~