NAT estático
O NAT estático mapeia o tráfego de rede de um endereço IP externo estático para um endereço IP ou rede interna. Ele cria uma tradução estática de endereços reais para endereços mapeados. O NAT estático oferece conectividade à internet a dispositivos de rede por meio de uma LAN privada com um endereço IP privado não registrado.
Entendendo o NAT estático
O NAT estático define um mapeamento de um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa. A partir do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado é o endereço IP do host real.
O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a um a um ou entre blocos de endereços do mesmo tamanho. Para cada endereço privado, um endereço público deve ser alocado. Não são necessários pools de endereços.
O NAT estático também oferece suporte aos seguintes tipos de tradução:
Para mapear vários endereços IP e intervalos de portas especificados para um mesmo endereço IP e diferentes faixas de portas
Mapear um endereço e porta IP específicos para um endereço e porta IP diferentes
A tradução de endereços de porta (PAT) também é suportada por um mapeamento estático entre a porta de destino (intervalo) e a porta mapeada (intervalo).
O endereço de destino original, juntamente com outros endereços em pools de NAT de origem e destino, não deve se sobrepor na mesma instância de roteamento.
Na pesquisa de regras de NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas prevalecem sobre as regras de NAT de origem.
Entendendo as regras de NAT estáticas
As regras de tradução de endereços de rede estática (NAT) especificam duas camadas de condições de correspondência:
Direção de tráfego — permite que você especifique da interface, da zona ou da instância de roteamento.
Informações de pacotes — podem ser endereços e portas de origem, endereços e portas de destino.
Para todo o tráfego ALG, exceto FTP, recomendamos que você não use as opções source-address
de regras de NAT estáticas ou source-port
. A criação de sessão de dados pode falhar se essas opções forem usadas porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não corresponder à regra NAT estática. Para o tráfego FTP ALG, a opção source-address
pode ser usada porque um endereço IP pode ser fornecido para combinar com o endereço fonte de uma regra NAT estática.
Quando os endereços de origem e destino são configurados como condições de correspondência para uma regra, o tráfego é compatível com o endereço de origem e o endereço de destino. Como o NAT estático é bidirecional, o tráfego na direção oposta corresponde à regra, e o endereço de destino do tráfego é compatível com o endereço de origem configurado.
Se várias regras de NAT estáticas se sobreporem às condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 e a regra B especifica o tráfego da interface ge-0/0/0, a regra B é usada para executar NAT estático. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento.
Como as regras de NAT estáticas não suportam endereços e portas sobrepostas, elas não devem ser usadas para mapear um endereço IP externo para vários endereços IP internos para tráfego ALG. Por exemplo, se diferentes sites quiserem acessar dois servidores FTP diferentes, os servidores FTP internos devem ser mapeados em dois endereços IP externos diferentes.
Para a ação de regra de NAT estática, especifique o endereço traduzido e (opcionalmente) a instância de roteamento.
Na pesquisa de NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas prevalece sobre as regras de NAT de origem.
Visão geral da configuração do NAT estático
As principais tarefas de configuração para NAT estático são as seguintes:
- Configure regras de NAT estáticas que se alinham com seus requisitos de rede e segurança.
- Configure as entradas ARP proxy do NAT para endereços IP na mesma sub-rede da interface de entrada.
Exemplo: configuração de NAT estático para tradução de endereço único
Este exemplo descreve como configurar um mapeamento NAT estático de um único endereço privado em um endereço público.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.
Na Figura 1, os dispositivos na zona não confiável acessam um servidor na zona de confiança por meio do endereço público 203.0.113.200/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com o endereço IP de destino 203.0.113.200/32, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32. Para uma nova sessão originária do servidor, o endereço IP de origem no pacote de saída é traduzido para o endereço público 203.0.113.200/32.
Este exemplo descreve as seguintes configurações:
Regra de NAT estática definida
rs1
com regrar1
para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.200/32. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32.Proxy ARP para o endereço 203.0.113.200 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego de e para o servidor 192.168.1.200.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT estático de um endereço privado para um endereço público:
Crie um conjunto de regras de NAT estática.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
Configure uma política de segurança que permita que todo o tráfego desde o servidor da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat static { rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; } then { static-nat prefix 192.168.1.200/32; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-1; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego que corresponda ao conjunto de regras estáticas de NAT.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Exemplo: configuração de NAT estático para tradução de sub-rede
Este exemplo descreve como configurar um mapeamento NAT estático de um endereço de sub-rede privada em um endereço de sub-rede pública.
Os blocos de endereços para mapeamento de NAT estático devem ter o mesmo tamanho.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, os dispositivos na zona de acesso não confiável na zona de confiança por meio do endereço de sub-rede pública 203.0.113.0/24. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com um endereço IP de destino na sub-rede 203.0.113.0/24, o endereço IP de destino é traduzido para um endereço privado na sub-rede 192.168.1.0/24. Para novas sessões originárias da sub-rede 192.168.1.0/24, o endereço IP de origem em pacotes de saída é traduzido para um endereço na sub-rede pública 203.0.113.0/24.
Este exemplo descreve as seguintes configurações:
Regra de NAT estática definida
rs1
com regrar1
para combinar pacotes recebidos na interface ge-0/0/0,0 com endereço IP de destino na sub-rede 203.0.113.0/24. Para pacotes correspondentes, o endereço de destino é traduzido para um endereço na sub-rede 192.168.1.0/24.O ARP proxy para o endereço varia de 203.0.113.1/32 a 203.0.113.249/32 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esses endereços. O endereço 203.0.113.250/32 é atribuído à própria interface, de modo que este endereço não esteja incluído na configuração de ARP proxy.
Políticas de segurança para permitir tráfego de e para a sub-rede 192.168.1.0/24.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT estático de um endereço de sub-rede privado para um endereço de sub-rede pública:
Crie um conjunto de regras de NAT estática.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço em uma sub-rede privada.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
Configure uma política de segurança que permita o tráfego da zona não confiável até a sub-rede na zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
Configure uma política de segurança que permita que todo o tráfego da sub-rede da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat static { rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { static-nat prefix 192.168.1.0/24; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-group; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-group; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego que corresponda ao conjunto de regras estáticas de NAT.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Exemplo: configuração do NAT64 estático para a tradução da sub-rede
Este exemplo fornece as etapas para a configuração estática do NAT64 em um dispositivo de firewall SRX. Seguindo este exemplo, você pode configurar uma tradução perfeita entre espaços de endereço IPv6 e IPv4. Esse recurso é particularmente útil em ambientes que estão fazendo a transição do IPv4 para o IPv6, pois elimina a necessidade de configurações de pilha dupla e, ao mesmo tempo, garante uma comunicação confiável de versão entre IP.
Pontuação de leitura |
|
Tempo de leitura |
Menos de 15 minutos. |
Tempo de configuração |
Menos de uma hora. |
- Pré-requisitos de exemplo
- Antes de começar
- Visão geral funcional
- Visão geral da topologia
- Ilustração de topologia
- Configure o NAT64 estático em teste por dispositivo (DUT)
- Verificação
- Apêndice 1: definir comandos em todos os dispositivos
- Apêndice 2: mostre a saída de configuração no DUT
Pré-requisitos de exemplo
Use este exemplo de configuração para configurar e verificar o NAT64 estático em seu dispositivo. O NAT64 estático permite uma comunicação perfeita entre clientes IPv6 e servidores IPv4, traduzindo endereços IPv6 para IPv4 usando um prefixo NAT64 bem conhecido (64:ff9b::/96). Esse recurso é particularmente útil em ambientes que estão fazendo a transição do IPv4 para o IPv6, pois elimina a necessidade de configurações de pilha dupla e, ao mesmo tempo, garante uma comunicação confiável de versão entre IP.
Requisitos de hardware |
Firewall virtual vSRX |
Requisitos de software |
Versão do Junos OS 24.1R1 ou posterior |
Requisitos de licenciamento |
Ativar uma licença de segurança para habilitar a tradução de endereços de rede (NAT) e recursos de segurança. |
Antes de começar
Benefícios |
|
Recursos úteis: |
|
Saiba mais |
|
Experiência prática |
|
Saiba Mais |
Visão geral funcional
Perfis |
|
Perfil de tradução | A configuração do NAT64 inclui um perfil de tradução para definir o mapeamento entre IPv6 e IPv4. |
Perfil de prefixo | Especifica o prefixo bem conhecido do NAT64 (64:ff9b:/96) para tradução de endereços IPv6-to-IPv4. |
Mapeamento de endereços |
Mapeia endereços ou sub-redes IPv6 específicos para corressponding de endereços IPv4 para facilitar a tradução. |
Políticas |
|
Política de entrada |
Permite que clientes somente IPv6 initem tráfego em direção aos servidores IPv4, igualando as regras de tradução do NAT64. |
Política de saída |
Permite a devolução do tráfego dos servidores IPv4 de volta aos clientes IPv6 com base nas regras do NAT64. |
Zonas de segurança |
|
|
Segmento de rede para clientes somente IPv6 que iniciam conexões. |
|
Segmento de rede onde residem servidores IPv4, respondendo às solicitações dos clientes. |
Zona NAT64 |
Uma zona dedicada para o processamento do NAT64, garantindo uma tradução eficiente e gerenciamento de tráfego. |
Visão geral da topologia
Nesta topologia STATIC NAT64, um cliente IPv6 somente comunica-se com um servidor IPv4 através do firewall da Série SRX. O firewall traduz endereços IPv6 para IPv4 usando mapeamentos Estáticos NAT64, enquanto um servidor DNS64 sintetiza respostas de DNS IPv6 para uma resolução perfeita de endereços. Essa configuração garante uma comunicação suave entre clientes somente IPv6 e servidores IPv4 sem exigir configurações de pilha dupla.
Topologia |
Papel |
Função |
---|---|---|
Cliente |
Dispositivo somente para IPv6 |
Inicia solicitações de um ambiente somente IPv6 para se comunicar com servidores IPv4. |
Firewall da Série SRX |
Gateway NAT64 |
Traduz os endereços IPv6 para endereços IPv4 usando o mapeamento Estático NAT64 configurado, garantindo uma comunicação perfeita em versões IP. |
Servidor DNS64 |
Tradutor de DNS |
Converte respostas de DNS IPv4 para o cliente, permitindo a resolução do endereço. |
Servidor IPv4 |
Servidor de destino |
Responde a solicitações de clientes usando seu endereço IPv4, permitindo interação com clientes somente IPv6 através do NAT64. |
Ilustração de topologia
Configure o NAT64 estático em teste por dispositivo (DUT)
Para ver configurações de amostra completas no DUT, veja:
Verificação
Verifique a configuração do NAT64 estático
Propósito
Verifique se há tráfego correspondente ao conjunto de regras estáticas do NAT64.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Apêndice 1: definir comandos em todos os dispositivos
O exemplo a seguir requer navegar por vários níveis da hierarquia de configuração do Junos OS. Para obter orientações detalhadas sobre como navegar na CLI, consulte Use o CLI Editor no modo de configuração.
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
Apêndice 2: mostre a saída de configuração no DUT
Mostre a saída de comando no DUT.
A partir do modo operacional, verifique sua configuração usando os seguintes comandos. Se a saída
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 20.20.20.1/24; } } } ge-0/0/2 { unit 0 { family inet6 { address 2001:db8::1/96; } } }
user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } }
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }
user@host# show security nat source { pool p1 { address { 10.6.32.0/24; } } rule-set src_rs1 { from zone trust; to zone untrust; rule source_rule { match { source-address 2001:db8::/96; destination-address 0.0.0.0/0; } then { source-nat { pool { p1; } } } } } } static { rule-set static_rs1 { from zone trust; rule static_rule { match { destination-address 64:ff9b::/96; } then { static-nat { inet; } } } } } proxy-arp { interface ge-0/0/2.0 { address { 10.6.32.1/32 to 10.6.32.249/32; } } }
Exemplo: configuração de NAT estático para mapeamento de portas
Este exemplo descreve como configurar mapeamentos NAT estáticos de um endereço público para endereços privados em uma gama especificada de portas.
Este tópico inclui as seguintes seções:
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.
Na Figura 4, os dispositivos na zona não confiável acessam um servidor na zona de confiança por meio de endereços públicos 203.0.113.1/32, 203.0.113.1/32 e 203.0.113.3/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com os endereços IP de destino 203.0.113.1/32, 203.0.113.1/32 e 203.0.113.3/32, o endereço IP de destino é traduzido para os endereços privados 10.1.1.1/32,10,1,1,2/32 e 10,1,1,2/32.
Para configurar a porta de destino, você deve usar um endereço IP para o campo de endereço de destino em vez de um prefixo de endereço IP.
Você deve configurar a porta de destino para configurar a porta mapeada e vice-versa.
Use a mesma faixa de número para as portas enquanto configura a porta de destino e a porta mapeada.
Se você não configurar a porta de destino e a porta mapeada, o mapeamento ip será o mapeamento de um para um.
Nenhuma sobreposição de endereços ou sobreposição de endereços e portas não é permitida.
Este exemplo descreve as seguintes configurações:
A regra de NAT estática define rs1 com a regra r1 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 100 a 200. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.1/32 e mapeado para porta 300 a 400.
A regra de NAT estática define rs1 com a regra r2 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 300 a 400. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta de 300 a 400.
A regra de NAT estática define rs1 com a regra r3 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.3/32 e a porta de destino 300. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta 200.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs from zone untrust
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32
set security nat static rule-set rs rule r3 match destination-port 300
set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT estático de um endereço de sub-rede privado para um endereço de sub-rede pública:
Crie um conjunto de regras de NAT estática.
[edit security nat static]
user@host# set rule-set rs from zone untrust
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r1 match destination-port 100 to 200
user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r2 match destination-port 300 to 400
user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32
user@host# set rule-set rs rule r3 match destination-port 300
user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
security { nat { static { rule-set rs { from zone untrust; rule r1 { match { destination-address 203.0.113.1/32; destination-port 100 to 200; } then { static-nat { prefix { 10.1.1.1/32; mapped-port 300 to 400; } } } } rule r2 { match { destination-address 203.0.113.1/32; destination-port 300 to 400; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 300 to 400; } } } } rule r3 { match { destination-address 203.0.113.3/32; destination-port 300; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 200; } } } } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego que corresponda ao conjunto de regras estáticas de NAT.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Solucionando problemas
Resolução de problemas da configuração de portas NAT estáticas
Problema
Falhas de configuração de mapeamento de portas NAT estáticas ocorrem durante um commit.
Configurações inválidas com endereços e portas IP sobrepostas resultam em falha de confirmação.
O exemplo a seguir mostra configurações inválidas com endereços e portas sobrepostas:
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.2
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
A mensagem de erro a seguir foi exibida quando a configuração supracitada foi enviada para confirmar:
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
Solução
Para configurar a porta de destino, você deve evitar qualquer sobreposição de endereços ou qualquer sobreposição de endereços e portas. Para um exemplo de configuração válida, veja Configuração
Monitoramento de informações de NAT estáticas
Propósito
Veja informações de regras de NAT estáticas.
Ação
Selecione o NAT > >NAT na interface de usuário J-Web ou insira o seguinte comando CLI:
show security nat static rule
A Tabela 3 resume os campos de saída chave no display NAT estático.
Campo |
Valores |
Ação |
---|---|---|
Nome definido por regras |
Nome do conjunto de regras. |
Selecione todos os conjuntos de regras ou um conjunto de regras específico para ser exibido na lista. |
Regras totais |
Número de regras configuradas. |
– |
ID |
Número de ID da regra. |
– |
Posição |
Posição da regra que indica a ordem em que ela se aplica ao tráfego. |
– |
Nome |
Nome da regra. |
– |
Nome do ruleset |
Nome do conjunto de regras. |
– |
De |
Nome da instância de roteamento/interface/zona da qual o pacote vem |
– |
Endereços de origem |
Endereços IP de origem. |
– |
Portas de origem |
Números da porta de origem. |
– |
Endereços de destino |
Endereço IP de destino e máscara de sub-rede. |
– |
Portas de destino |
Números da porta de destino. |
– |
Endereços de host |
Nome dos endereços do host. |
– |
Portas de host |
Números da porta do host. |
|
Netmask |
Endereço IP da sub-rede. |
– |
Instância de roteamento de host |
Nome da instância de roteamento da qual o pacote vem. |
– |
Limiar de alarme |
Limite de alarme de utilização. |
– |
Sessões (Succ/falha/corrente) |
Sessões bem-sucedidas, fracassadas e atuais.
|
– |
Hits de tradução |
Quantidade de vezes que uma tradução na tabela de tradução é usada para uma regra NAT estática. |
– |
Gráfico das 10 melhores tradução |
Exibe o gráfico dos 10 principais hits de tradução. |
– |