Redirection de port
Présentation de la redirection de port
Vous pouvez mapper une adresse IP et un port externes avec une adresse IP et un port dans un réseau privé. Ce mappage, appelé redirection de port, est pris en charge sur les cartes multiservices MS-DPC, MS-100, MS-400 et MS-500. À partir de Junos OS version 17.4R1, la redirection de port est également prise en charge sur les systèmes MS-MPC et MS-MIC.
La redirection de port permet de modifier l’adresse de destination et le port d’un paquet pour qu’ils atteignent le bon hôte dans une passerelle de traduction d’adresses réseau (NAT). La traduction permet d’atteindre plus facilement un hôte au sein d’un réseau masqué, généralement privé, en fonction du numéro de port sur lequel le paquet a été reçu de l’hôte d’origine. Un exemple de ce type de destination est l’hôte d’un serveur HTTP public au sein d’un réseau privé. Vous pouvez également configurer la redirection de port sans traduire d’adresse de destination. La redirection de port prend en charge le mappage indépendant du point de terminaison (EIM), le remplissage indépendant du point de terminaison (EIF) et le regroupement d’adresses associé (APP).
La redirection de port fonctionne uniquement avec la passerelle de niveau d’application (ALG) FTP et ne prend pas en charge les technologies qui offrent des services IPv6 sur une infrastructure IPv4, telles que IPv6 Rapid Deployment (6rd) et Dual-Stack Lite (DS-Lite). La redirection de port est uniquement compatible dnat-44 avec les twice-napt-44 réseaux IPv4.
Avantages de la redirection de port
Permet aux ordinateurs distants, tels que les ordinateurs publics sur Internet, de se connecter à un port non standard d’un ordinateur spécifique caché dans un réseau privé.
Configuration de la redirection de port pour la traduction statique des adresses de destination
Vous pouvez configurer la traduction des adresses de destination avec la redirection de port. La redirection de port permet de modifier l’adresse de destination et le port d’un paquet pour qu’ils atteignent le bon hôte dans une passerelle de traduction d’adresses réseau (NAT). La redirection de port est prise en charge sur les cartes multiservices MS-DPC, MS-100, MS-400 et MS-500. À partir de Junos OS version 17.4R1, la redirection de port est également prise en charge sur les systèmes MS-MPC et MS-MIC.
Pour configurer la traduction des adresses de destination avec redirection de port :
Une configuration similaire est possible avec deux fois NAT pour IPv4. Reportez-vous à la section Exemple : Configuration de la redirection de port avec deux fois NAT.
La redirection de port et le pare-feu dynamique peuvent être configurés ensemble. Le pare-feu dynamique est prioritaire sur la redirection de port.
Configuration de la redirection de port sans traduction d’adresse de destination
Vous pouvez configurer la redirection de port sans traduire d’adresse de destination. La redirection de port permet de modifier le port de destination pour qu’il atteigne le bon port dans une passerelle de traduction d’adresses réseau (NAT). La redirection de port est prise en charge sur les cartes multiservices MS-DPC, MS-100, MS-400 et MS-500. À partir de Junos OS version 17.4R1, la redirection de port est également prise en charge sur les systèmes MS-MPC et MS-MIC.
Pour configurer la redirection de port sans traduction d’adresse de destination dans les réseaux IPv4 :
La redirection de port et le pare-feu dynamique peuvent être configurés ensemble. Le pare-feu dynamique est prioritaire sur la redirection de port.
Exemple : Configuration de la redirection de port avec deux fois NAT
L’exemple suivant configure la redirection de port avec twice-napt-44 comme type de traduction. L’exemple dispose également d’un pare-feu dynamique et de plusieurs cartes de ports configurées.
La redirection de port est prise en charge sur les cartes multiservices MS-DPC, MS-100, MS-400 et MS-500. À partir de Junos OS version 17.4R1, la redirection de port est également prise en charge sur les systèmes MS-MPC et MS-MIC.
[edit services]
user@host# show
service-set in {
syslog {
host local {
services any;
}
}
stateful-firewall-rules r;
nat-rules r;
interface-service {
service-interface sp-10/0/0.0;
}
}
stateful-firewall {
rule r {
match-direction input;
term t {
from {
destination-port {
range low 20 high 5000;
}
}
then {
reject;
}
}
}
}
nat {
pool x {
address 203.0.113.2/32;
}
rule r {
match-direction input;
term t {
from {
destination-address {
198.51.100.2/32;
}
destination-port {
range low 10 high 20000;
}
}
then {
port-forwarding-mappings y;
translated {
destination-pool x;
translation-type {
twice-napt-44;
}
}
}
}
}
port-forwarding y {
destined-port 45;
translated-port 23;
destined-port 55;
translated-port 33;
destined-port 65;
translated-port 43;
}
}
adaptive-services-pics {
traceoptions {
file sp-trace;
flag all;
}
}
Le pare-feu dynamique est prioritaire sur la redirection de port. Dans cet exemple, par exemple, aucun trafic destiné à un port compris entre 20 et 5000 ne sera traduit.
Jusqu’à 32 cartes de ports peuvent être configurées.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.