SRX 防火墙NAT配置


为什么地址转换

NAT主要提供公网、私网IP地址之间的转换,同时也支持端口转换

image.png

NAT路由缺失、路由冲突时,可以通过转换地址来解决

image.png

安全考虑,对外隐藏服务器真实IP


SRX报文处理过程


Juniper SRX防火墙-NAT(一)_第1张图片

Juniper SRX防火墙-NAT(一)_第2张图片



NAT转换地址必须知道

我们需要第一步先确认、规划好对外提供转换的虚IP,(比如说公网IP)

Juniper SRX防火墙-NAT(一)_第3张图片

image.png

Ø 一对一服务器端口映射:适用于就一台服务器,对外提供多个服务功能;

问题:不能从外网管理防火墙咧!

Ø 基于端口服务器端口映射:适用于多台服务器,分别对外提供多个服务功能;

可以对多台服务器来做,外网端口和服务器端口可以不一样!

Ø 内网访问公网,源NAT,即将内网地址转换为公网接口地址访问公网

注意:一个公网地址只能支持最大64000个会话


Juniper SRX防火墙-NAT(一)_第4张图片

当NAT的公网地址和公网接口是在同一网段时,需要启用NAT Proxy ARP,使得SRX对端设备能够解析到此公网地址的MAC address,便于返回报文能够正常发送至SRX防火墙


Proxy ARP

Juniper SRX防火墙-NAT(一)_第5张图片


当我们的公网接口地址不够用,或同段地址用完了,我们需要再向运营商申请一些公网,这些地址与接口地址,不在同一个子网段。

对端需要将本段路由指向防火墙外网接口IP墙上不需要做其他处理,可直接NAT

[edit security nat]

user@host# show

proxy-arp {

interface ge-0/0/3.10 {

address {

1.1.70.10/32 to 1.1.70.100/32;

}


NAT转换地址必须知道

Juniper SRX防火墙-NAT(一)_第6张图片


当我们的公网接口地址不够用,或同段地址用完了,我们需要再向运营商申请一些公网,这些地址与接口地址,不在同一个子网段。

对端需要将本段路由指向防火墙外网接口IP墙上不需要做其他处理,可直接NAT



网络地址转换

NAT主要提供公网、私网IP地址之间的转换,同时也支持端口转换

Juniper SRX防火墙-NAT(一)_第7张图片



NAT类型

两种类型的 NAT和PAT:

• 基于目的地址的NAT:包括目的地址及端口的转换

• 基于源地址的NAT:包括源IP地址及端口的转换

目的及源NAT、PAT的组合

动态与静态的地址转换

image.png



NAT类型

SRX还提供第三种NAT:Static NAT

静态地址翻译:提供双向NAT功能,由source static nat与destination static nat组合而成

image.png



目的NAT

目的NAT的两种类型:

• Static NAT:此为1对1的地址映射,此NAT没有PAT端口转换

• Rule-based NAT:基于动态地址池的地址映射,此NAT选择是否做PAT端口转换

 

VoIP ALGs 会动态产生allow-incoming表来允许数据进入内部网络

Juniper SRX防火墙-NAT(一)_第8张图片



静态目的地址转换

Sample topology:

image.png

 Enable static destination NAT to host A using a public address of 100.0.0.1/32

将内网主机10.1.10.5与公网IP地址100.0.0.1绑定做一对一的静态映射

一对一的地址转换,在NETSCREEN中称之为MIP



静态目的地址转换

具体配置如下,destination-address定义为公网IP地址

[edit security]

user@host# show

nat {

static {

rule-set r1 {

from zone untrust;

rule a {

match {

destination-address 100.0.0.1/32;

}

then {

static-nat prefix 10.1.10.5/32;


Juniper SRX防火墙-NAT(一)_第9张图片



静态目的地址转换

set interfaces ge-0/0/0 unit 0 family inetaddress 222.0.0.1/27

set interfaces ge-0/0/1 unit 0 family inetaddress 192.168.1.1/24

set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.8/32

set security natproxy-arpinterface ge-0/0/0.0 address 222.0.0.7/32

set security zones security-zone untrustinterfaces ge-0/0/0.0 host-inbound-traffic system-services all

set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all

set security natstaticrule-set static-natfrom zone untrust

 

set security nat static rule-set static-natrule 1 match destination-address222.0.0.6/32

set security nat static rule-set static-natrule 1 then static-natprefix 192.168.1.6/32

 

set security natstaticrule-set static-natrule 2 match destination-address222.0.0.7/32

set security natstaticrule-set static-natrule 2 then static-natprefix 192.168.1.7/32

 

set security natstaticrule-set static-natrule 3 match destination-address222.0.0.8/32

set security natstaticrule-set static-natrule 3 then static-natprefix 192.168.1.8/32

 

show security nat static rule 3

查看NAT对应关系 ,验证NAT是否被外网发起访问起命中,以排队故障

Juniper SRX防火墙-NAT(一)_第10张图片


静态目的地址转换

Juniper SRX防火墙-NAT(一)_第11张图片



Reverse static source NAT is automatically enabled:

内网主机192.168.1.8如果发起访问外网的请求,IP地址自动转换为222.0.0.8

Session is not created until triggered NAT与会话无直接关系,只有会话发起建立才能看到

Juniper SRX防火墙-NAT(一)_第12张图片