NAT de destino
O NAT de destino altera o endereço de destino dos pacotes que passam pelo Roteador. Ele também oferece a opção de realizar a tradução de porta nos cabeçalhos TCP/UDP. NAT de destino usado principalmente para redirecionar pacotes de entrada com um endereço externo ou destino de porta para um endereço IP interno ou porta dentro da rede.
Entendendo o NAT de destino
NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
Quando o NAT de destino é executado, o endereço IP de destino é traduzido de acordo com as regras de NAT de destino configuradas e, em seguida, as políticas de segurança são aplicadas.
O NAT de destino permite que conexões sejam iniciadas apenas para conexões de rede de entrada , por exemplo, da Internet a uma rede privada. O NAT de destino é comumente usado para realizar as seguintes ações:
Traduza um único endereço IP para outro endereço (por exemplo, para permitir que um dispositivo na Internet se conecte a um host em uma rede privada).
Traduza um bloco contíguo de endereços para outro bloco de endereços do mesmo tamanho (por exemplo, para permitir o acesso a um grupo de servidores).
Traduza um endereço IP de destino e uma porta para outro endereço IP de destino e porta (por exemplo, para permitir o acesso a vários serviços usando o mesmo endereço IP, mas portas diferentes).
Os seguintes tipos de NAT de destino são suportados:
Tradução do endereço IP de destino original para um endereço IP a partir de um pool definido pelo usuário. Esse tipo de tradução não inclui a tradução de endereços de porta (PAT). Se a faixa de endereço IP de destino original for maior do que a faixa de endereço no pool de endereços definido pelo usuário, quaisquer pacotes não traduzidos serão descartados.
Tradução do endereço IP de destino original (e número de porta opcional) para um endereço IP específico (e número de porta) de um pool definido pelo usuário.
Entendendo os pools de endereços NAT de destino
Um pool de NAT é um conjunto definido pelo usuário de endereços IP que são usados para tradução. Ao contrário do NAT estático, onde há um mapeamento de um para um que inclui a tradução de endereço IP de destino em uma direção e a tradução de endereço IP de origem na direção inversa, com NAT de destino, você traduz o endereço de destino original para um endereço IP no pool de endereços.
Para grupos de endereços NAT de destino, especifique o seguinte:
Nome do pool de endereços NAT de destino
Faixa de endereço ou endereço de destino
Não se sobreponha aos endereços NAT de origem, NAT de destino e NAT estático em uma única instância de roteamento.
Porta de destino que é usada para encaminhamento de portas
Instância de roteamento à qual o pool pertence — um pool de NAT de destino que não especifica uma instância de roteamento específica será padrão para a instância de roteamento da zona de entrada.
Você pode configurar um pool de NAT para existir na instância de roteamento padrão. Opção de configuração para especificar se existe um pool de NAT na instância de roteamento padrão está disponível. Como resultado, o pool de NAT é acessível a partir de zonas na instância de roteamento padrão e de zonas em outras instâncias de roteamento.
Entendendo as regras de NAT de destino
As regras de NAT de destino especificam duas camadas de condições de correspondência:
Direção de tráfego — permite especificar
from interface,from zoneoufrom routing-instance.Informações de pacotes — podem ser endereços IP de origem, endereço IP de destino ou sub-rede, números de porta de destino ou intervalos de porta, protocolos ou aplicativos.
Para tráfego ALG, recomendamos que você não use a opção destination-port ou a opção application como condições de correspondência. Se essas opções forem usadas, a tradução pode falhar porque o valor de porta na carga do aplicativo pode não corresponder ao valor de porta no endereço IP.
Se várias regras de NAT de destino se sobreporem nas condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 e a regra B especifica o tráfego da interface ge-0/0/0, a regra B é usada para realizar NAT de destino. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento.
As ações que você pode especificar para uma regra de NAT de destino são:
desativado — Não execute o NAT de destino.
pool — Use o pool de endereços definido pelo usuário especificado para realizar o NAT de destino.
As regras de NAT de destino são aplicadas ao tráfego no primeiro pacote que é processado para o fluxo ou no caminho rápido para a ALG. As regras de NAT de destino são processadas após regras de NAT estáticas, mas antes das regras de NAT de origem.
Visão geral da configuração do NAT de destino
As principais tarefas de configuração para NAT de destino são as seguintes:
- Configure um pool de endereços NAT de destino alinhado com os requisitos de sua rede e segurança.
- Configure as regras de NAT de destino que se alinham com os requisitos de rede e segurança.
- Configure as entradas ARP proxy do NAT para endereços IP na mesma sub-rede da interface de entrada.
Exemplo: Configuração do NAT de destino para tradução de endereço único
Este exemplo descreve como configurar um mapeamento NAT de destino de um único endereço público em um endereço privado.
O mapeamento de um endereço IP de destino para outro também pode ser realizado com NAT estático. O mapeamento nat estático permite que conexões sejam estabelecidas de ambos os lados do dispositivo de gateway, enquanto o NAT de destino só permite que as conexões sejam estabelecidas de um lado. No entanto, o NAT estático só permite tradução de um endereço para outro ou entre blocos de endereços do mesmo tamanho.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewalls da Série SRX
Servidor
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
O NAT de destino é comumente usado para distribuir um serviço localizado em uma rede privada com um endereço IP acessível ao público. Isso permite que os usuários usem o serviço privado com o endereço IP público. As configurações de pool de endereços NAT de destino e NAT de destino são usadas para alinhar sua rede e melhorar os requisitos de segurança.
Neste exemplo, primeiro você configura a zona de segurança de confiança para o espaço de endereço privado e depois configura a zona de segurança não confiável para o espaço de endereços públicos. Na Figura 1, os dispositivos na zona não confiável acessam um servidor na zona de confiança por meio do endereço público 203.0.113.200/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com o endereço IP de destino 203.0.113.200/32, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32.
Topologia
de endereço único nat de destino
A Tabela 1 mostra os parâmetros configurados neste exemplo.
Parâmetro |
Descrição |
|---|---|
Zona de confiança |
Zona de segurança para o espaço de endereço privado. |
Zona não confiável |
Zona de segurança para o espaço de endereços públicos. |
192.168.1.200/32 |
Endereço IP nat de destino traduzido. |
192.168.1.0/24 |
Sub-rede privada em zona privada. |
203.0.113.200/32 |
Endereço público do servidor. |
Servidor |
Endereço do servidor do espaço de endereço privado. |
ge-0/0/0 e ge-1/0/0 |
Interfaces de NAT para direção de tráfego. |
Este exemplo descreve as seguintes configurações:
Grupo de NAT
dst-nat-pool-1de destino que contém o endereço IP 192.168.1.200/32.Regra de NAT de destino definida
rs1com regrar1para combinar pacotes recebidos da interface ge-0/0/0.0 com o endereço IP de destino 203.0.113.200/32. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço nadst-nat-pool-1piscina.Proxy ARP para o endereço 203.0.113.200/32 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego da zona não confiável para o endereço IP de destino traduzido na zona de confiança.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um mapeamento NAT de destino de um endereço público para um endereço privado:
Crie o pool de NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show security zonese show bridge-domains comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação do uso do grupo NAT de destino
- Verificação da utilização das regras de NAT de destino
- Verificando o NAT de destino para uma tradução de endereço único
- Verificando o tráfego do aplicativo NAT
Verificação do uso do grupo NAT de destino
Propósito
Verifique se há tráfego usando endereços IP no pool de NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination pool all comando. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Significado
O show security nat destination pool all comando exibe o pool de endereços traduzidos. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all comando.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Significado
O show security nat destination rule all comando exibe a regra NAT de destino. Veja o campo de tradução para verificar se o tráfego corresponde à regra de destino.
Verificando o NAT de destino para uma tradução de endereço único
Propósito
Verifique a configuração do NAT de destino para obter uma tradução de endereço único.
Ação
A partir do modo operacional, entre no show security nat destination summary comando.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Significado
O show security nat destination summary comando exibe informações sobre a configuração de NAT de destino. Você pode verificar as seguintes informações:
Conjuntos de regras
Réguas
Intervalo de endereço
Grupo de NAT
Detalhes da porta
Verificando o tráfego do aplicativo NAT
Propósito
Verifique se o NAT está sendo aplicado ao tráfego especificado.
Ação
A partir do modo operacional, entre no show security flow session comando.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Significado
O show security flow session comando exibe sessões ativas no dispositivo e a política de segurança associada de cada sessão. A saída mostra o tráfego entrando no dispositivo destinado a um host público em 203.0.113.200 que é traduzido para endereço IP de destino privado 192.168.1.200.
Session ID— Número que identifica a sessão. Use este ID para obter mais informações sobre a sessão, como nome da política ou número de pacotes dentro e fora.
server-access— Nome da política que permitiu o tráfego da zona não confiável para o endereço IP de destino traduzido na zona de confiança.
In— Fluxo de entrada (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de origem para esta sessão é ge-0/0/0,0).
Out— Fluxo reverso (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de destino para esta sessão é ge-0/0/1,0).
Exemplo: Configuração do NAT de destino para endereço IP e tradução de porta
Este exemplo descreve como configurar mapeamentos NAT de destino de um endereço público para endereços privados, dependendo do número da porta.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, os dispositivos na zona de acesso não confiável servidores na zona de confiança por meio do endereço público 203.0.113.200 na porta 80 ou 8000. Os pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável são mapeados nos endereços privados dos servidores da seguinte forma:
O endereço IP de destino 203.0.113.200 e a porta 80 são traduzidos para o endereço privado 192.168.1.200 e a porta 80.
O endereço IP de destino 203.0.113.200 e a porta 8000 são traduzidos para o endereço privado 192.168.1.220 e para a porta 8000.
de porta
Este exemplo descreve as seguintes configurações:
Grupo de NAT
dst-nat-pool-1de destino que contém o endereço IP 192.168.1.200 porta 80.Grupo de NAT
dst-nat-pool-2de destino que contém o endereço IP 192.168.1.220 e a porta 8000.Regra de NAT de destino definida
rs1com regrar1para combinar pacotes recebidos da zona não confiável com o endereço IP de destino 203.0.113.200 e a porta de destino 80. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço nadst-nat-pool-1piscina.Regra de NAT de destino definida
rs1com regrar2para combinar pacotes recebidos da zona não confiável com o endereço IP de destino 203.0.113.200 e a porta de destino 8000. Para pacotes correspondentes, o endereço IP de destino e a porta são traduzidos para o endereço e porta nodst-nat-pool-2pool.Proxy ARP para o endereço 203.0.113.200/32. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego da zona não confiável para os endereços IP de destino traduzidos na zona de confiança.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de destino de um endereço público para um endereço privado:
Crie grupos de NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure endereços na lista de endereços global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para os servidores da zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação do uso do grupo NAT de destino
- Verificação da utilização das regras de NAT de destino
- Verificando o tráfego do aplicativo NAT
Verificação do uso do grupo NAT de destino
Propósito
Verifique se há tráfego usando endereços IP no pool de NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination pool all comando. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Exemplo: Configuração do NAT de destino para tradução de sub-rede
Este exemplo descreve como configurar um mapeamento NAT de destino de um endereço de sub-rede pública em um endereço de sub-rede privado.
O mapeamento de endereços de uma sub-rede para outra também pode ser realizado com NAT estático. O mapeamento nat estático permite que conexões sejam estabelecidas de ambos os lados do dispositivo de gateway, enquanto o NAT de destino permite que as conexões sejam estabelecidas de apenas um lado. No entanto, o NAT estático só permite tradução entre blocos de endereços do mesmo tamanho.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 3, os dispositivos na zona de acesso não confiável na zona de confiança por meio do endereço de sub-rede pública 203.0.113.0/24. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com um endereço IP de destino na sub-rede 203.0.113.0/24, o endereço IP de destino é traduzido para um endereço privado na sub-rede 192.168.1.0/24.
de sub-rede NAT de destino
Este exemplo descreve as seguintes configurações:
Grupo de NAT
dst-nat-pool-1de destino que contém o endereço IP 192.168.1.0/24.Regra de NAT de destino definida
rs1com regrar1para combinar pacotes recebidos da interface ge-0/0/0.0 com o endereço IP de destino na sub-rede 203.0.113.0/24. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço nadst-nat-pool-1piscina.ARP proxy para os endereços 203.0.113.1/32 a 203.0.113.62/32 na interface ge-0/0/0,0; estes são os endereços IP dos hosts que devem ser traduzidos da sub-rede 203.0.113.0/24. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esses endereços. O endereço 203.0.113.0/24 é atribuído à própria interface, de modo que este endereço não esteja incluído na configuração ARP proxy. Os endereços que não estão na faixa 203.0.113.1/32 até 203.0.113.62/32 não devem estar presentes na rede e não seriam traduzidos.
Políticas de segurança para permitir o tráfego da zona não confiável para os endereços IP de destino traduzidos na zona de confiança.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de destino de um endereço de sub-rede pública para um endereço de sub-rede privado:
Crie o pool de NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que combine pacotes e traduza o endereço de destino para um endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configure uma política de segurança que permita o tráfego da zona não confiável para os dispositivos da zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação do uso do grupo NAT de destino
- Verificação da utilização das regras de NAT de destino
- Verificando o tráfego do aplicativo NAT
Verificação do uso do grupo NAT de destino
Propósito
Verifique se há tráfego usando endereços IP no pool de NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination pool all comando. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Monitoramento das informações de NAT de destino
Propósito
Veja a tabela de resumo da tradução de endereços de rede (NAT) de destino e os detalhes das informações especificadas do pool de endereços de destino nat.
Ação
Selecione Monitor>NAT> NAT de destino na interface de usuário J-Web ou insira os seguintes comandos CLI:
show security nat destination summaryshow security nat destination pool pool-name
A Tabela 2 resume os principais campos de saída no display NAT de destino.
Campo |
Valores |
Ação |
|---|---|---|
| Réguas | ||
Nome definido por regras |
Nome do conjunto de regras. |
Selecione todos os conjuntos de regras ou um conjunto de regras específico para ser exibido na lista. |
Regras totais |
Número de regras configuradas. |
– |
ID |
Número de ID da regra. |
– |
Nome |
Nome da regra. |
– |
Nome do ruleset |
Nome do conjunto de regras. |
– |
De |
Nome da instância/zona/interface de roteamento da qual o pacote flui. |
– |
Intervalo de endereços de origem |
Faixa de endereço IP de origem no pool de fontes. |
– |
Faixa de endereço de destino |
Faixa de endereço IP de destino no pool de origem. |
– |
Porta de destino |
Porta de destino no pool de destino. |
– |
Protocolo IP |
Protocolo IP. |
– |
Ação |
Medidas tomadas para um pacote que corresponda a uma regra. |
– |
Limiar de alarme |
Limite de alarme de utilização. |
– |
Sessões (Succ/falha/corrente) |
Sessões bem-sucedidas, fracassadas e atuais.
|
– |
Hits de tradução |
Quantidade de vezes que uma tradução na tabela de tradução é usada para uma regra de NAT de destino. |
– |
| Piscinas | ||
Nome do grupo |
Os nomes das piscinas. |
Selecione todos os pools ou um pool específico para exibir na lista. |
Grupos totais |
Total de pools adicionados. |
– |
ID |
ID da piscina. |
– |
Nome |
Nome do pool de destino. |
– |
Intervalo de endereço |
Faixa de endereço IP no pool de destino. |
– |
Porta |
Número de porta de destino na piscina. |
– |
Instância de roteamento |
Nome da instância de roteamento. |
– |
Total de endereços |
Endereço IP total, conjunto de endereços IP ou entrada na lista de endereços. |
– |
Hits de tradução |
Quantidade de vezes que uma tradução na tabela de tradução é usada para NAT de destino. |
– |
| Top 10 hits de tradução | ||
Gráfico |
Exibe o gráfico dos 10 principais hits de tradução. |
– |