Destination NAT
Le NAT de destination modifie l’adresse de destination des paquets transitant par le routeur. Il offre également la possibilité d’effectuer la traduction des ports dans les en-têtes TCP/UDP. Le NAT de destination est principalement utilisé pour rediriger les paquets entrants ayant une adresse ou un port de destination externe vers une adresse IP ou un port interne à l’intérieur du réseau.
Comprendre le NAT de destination
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Lorsque le NAT de destination est effectué, l’adresse IP de destination est traduite en fonction des règles NAT de destination configurées, puis les stratégies de sécurité sont appliquées.
Le NAT de destination permet d’établir des connexions uniquement pour les connexions réseau entrantes, par exemple, d’Internet vers un réseau privé. Le NAT de destination est couramment utilisé pour effectuer les actions suivantes :
Convertir une adresse IP en une autre adresse (par exemple, pour permettre à un appareil connecté à Internet de se connecter à un hôte sur un réseau privé).
Convertir un bloc d’adresses contiguës en un autre bloc d’adresses de même taille (par exemple, pour autoriser l’accès à un groupe de serveurs).
Traduisez une adresse IP et un port de destination vers une autre adresse IP et un autre port (par exemple, pour autoriser l’accès à plusieurs services utilisant la même adresse IP mais des ports différents).
Les types de NAT de destination suivants sont pris en charge :
Conversion de l’adresse IP de destination d’origine en adresse IP à partir d’un pool défini par l’utilisateur. Ce type de traduction n’inclut pas la traduction d’adresse de port (PAT). Si la plage d’adresses IP de destination d’origine est supérieure à la plage d’adresses du pool d’adresses défini par l’utilisateur, tous les paquets non traduits sont abandonnés.
Traduction de l’adresse IP de destination d’origine (et du numéro de port facultatif) en une adresse IP (et un numéro de port) spécifique à partir d’un pool défini par l’utilisateur.
Présentation des pools d’adresses NAT de destination
Un pool NAT est un ensemble défini par l’utilisateur d’adresses IP utilisées pour la traduction. Contrairement au NAT statique, où il existe un mappage un-à-un qui inclut la traduction de l’adresse IP de destination dans un sens et la traduction de l’adresse IP source dans le sens inverse, avec le NAT de destination, vous traduisez l’adresse de destination d’origine en une adresse IP dans le pool d’adresses.
Pour les pools d’adresses NAT de destination, spécifiez les éléments suivants :
Nom du pool d’adresses NAT de destination
Adresse de destination ou plage d’adresses
Ne chevauchez pas les adresses NAT du NAT source, du NAT de destination et du NAT statique au sein d’une même instance de routage.
Port de destination utilisé pour la redirection de port
Instance de routage à laquelle appartient le pool : un pool NAT de destination qui ne spécifie pas d’instance de routage spécifique est utilisé par défaut sur l’instance de routage de la zone entrante.
Vous pouvez configurer un pool NAT pour qu’il existe dans l’instance de routage par défaut. L’option de configuration permettant de spécifier l’existence d’un pool NAT dans l’instance de routage par défaut est disponible. Par conséquent, le pool NAT est accessible à partir des zones de l’instance de routage par défaut et des zones des autres instances de routage.
Comprendre les règles NAT de destination
Les règles NAT de destination spécifient deux couches de conditions de correspondance :
Traffic direction (Direction du trafic) : permet de spécifier
from interface,from zoneoufrom routing-instance.Informations sur les paquets : il peut s’agir d’adresses IP source, d’adresses IP ou de sous-réseau de destination, de numéros ou de plages de ports de destination, de protocoles ou d’applications.
Pour le trafic ALG, nous vous recommandons de ne pas utiliser l’option destination-port ou l’option application comme conditions de correspondance. Si ces options sont utilisées, la traduction peut échouer, car la valeur du port dans la charge utile de l’application peut ne pas correspondre à la valeur du port dans l’adresse IP.
Si plusieurs règles NAT de destination se chevauchent dans les conditions de correspondance, la règle la plus spécifique est choisie. Par exemple, si les règles A et B spécifient les mêmes adresses IP source et de destination, mais que la règle A spécifie le trafic provenant de la zone 1 et la règle B le trafic provenant de l’interface ge-0/0/0, la règle B est utilisée pour effectuer le NAT de destination. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage.
Les actions que vous pouvez spécifier pour une règle NAT de destination sont les suivantes :
off : n’exécute pas le NAT de destination.
pool : utilisez le pool d’adresses spécifié défini par l’utilisateur pour effectuer le NAT de destination.
Les règles NAT de destination sont appliquées au trafic du premier paquet traité pour le flux ou du chemin rapide pour l’ALG. Les règles NAT de destination sont traitées après les règles NAT statiques, mais avant les règles NAT source.
Vue d’ensemble de la configuration du NAT de destination
Les principales tâches de configuration du NAT de destination sont les suivantes :
- Configurez un pool d’adresses NAT de destination qui correspond à vos exigences en matière de réseau et de sécurité.
- Configurez des règles NAT de destination qui correspondent à vos exigences en matière de réseau et de sécurité.
- Configurez les entrées ARP du proxy NAT pour les adresses IP dans le même sous-réseau de l’interface entrante.
Exemple : configuration du NAT de destination pour la traduction d’adresse unique
Cet exemple décrit comment configurer un mappage NAT de destination d’une adresse publique unique à une adresse privée.
Le mappage d’une adresse IP de destination à une autre peut également être réalisé avec le NAT statique. Le mappage NAT statique permet d’établir des connexions de part et d’autre de l’équipement de passerelle, tandis que le NAT de destination permet uniquement d’établir des connexions d’un seul côté. Cependant, le NAT statique n’autorise que les traductions d’une adresse à une autre ou entre blocs d’adresses de même taille.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Serveur
Avant de commencer :
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les dispositifs de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.
Aperçu
Le NAT de destination est couramment utilisé pour distribuer un service situé dans un réseau privé avec une adresse IP accessible au public. Cela permet aux utilisateurs d’utiliser le service privé avec l’adresse IP publique. Les configurations des NAT de destination, du pool d’adresses et des règles NAT de destination permettent d’aligner votre réseau et d’améliorer les exigences de sécurité.
Dans cet exemple, vous configurez d’abord la zone de sécurité de confiance pour l’espace d’adressage privé, puis vous configurez la zone de sécurité de non-confiance pour l’espace d’adressage public. Sur la Figure 1, les périphériques de la zone non approuvée accèdent à un serveur de la zone de confiance via l’adresse publique 203.0.113.200/32. Pour les paquets qui entrent dans l’équipement de sécurité Juniper Networks depuis la zone de non-confiance avec l’adresse IP de destination 203.0.113.200/32, l’adresse IP de destination est traduite en adresse privée 192.168.1.200/32.
Topologie
unique NAT de destination
Le tableau 1 présente les paramètres configurés dans cet exemple.
Paramètre |
Description |
|---|---|
Zone de confiance |
Zone de sécurité pour l’espace d’adressage privé. |
Zone de dissociation |
Zone de sécurité pour l’espace d’adressage public. |
192.168.1.200/32 |
Adresse IP NAT de destination traduite. |
192.168.1.0/24 |
Sous-réseau privé en zone privée. |
203.0.113.200/32 |
Adresse publique du serveur. |
Serveur |
Adresse serveur de l’espace d’adressage privé. |
GE-0/0/0 et GE-1/0/0 |
Interfaces NAT pour la direction du trafic. |
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-pool-1NAT de destination contenant l’adresse IP 192.168.1.200/32.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets reçus de l’interface ge-0/0/0.0 avec l’adresse IP de destination 203.0.113.200/32. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dans ledst-nat-pool-1pool.ARP proxy pour l’adresse 203.0.113.200/32 sur l’interface ge-0/0/0.0. Cela permet à l’équipement de sécurité Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour cette adresse.
Stratégies de sécurité autorisant le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone de confiance.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer un mappage NAT de destination d’une adresse publique à une adresse privée :
Créez le pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez le proxy ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers le serveur de la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show interfacescommande , show security zones, et show bridge-domains . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation de la règle NAT de destination
- Vérification du NAT de destination pour une traduction d’adresse unique
- Vérification de l’application NAT au trafic
Vérification de l’utilisation du pool NAT de destination
But
Vérifiez que le trafic utilise les adresses IP du pool NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Signification
La show security nat destination pool all commande affiche le pool d’adresses traduites. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation de la règle NAT de destination
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Signification
La show security nat destination rule all commande affiche la règle NAT de destination. Affichez le champ Traductions pour vérifier le trafic qui correspond à la règle de destination.
Vérification du NAT de destination pour une traduction d’adresse unique
But
Vérifiez la configuration du NAT de destination pour une traduction d’adresse unique.
Action
À partir du mode opérationnel, entrez la show security nat destination summary commande.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Signification
La show security nat destination summary commande affiche des informations sur la configuration NAT de destination. Vous pouvez vérifier les informations suivantes :
Ensembles de règles
Règlement
Plage d’adresses
Pool NAT
Détails du port
Vérification de l’application NAT au trafic
But
Vérifiez que NAT est appliqué au trafic spécifié.
Action
À partir du mode opérationnel, entrez la show security flow session commande.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Signification
La show security flow session commande affiche les sessions actives sur l’appareil et la stratégie de sécurité associée à chaque session. La sortie montre le trafic entrant dans l’appareil destiné à un hôte public à l’adresse 203.0.113.200 qui est traduit en adresse IP de destination privée 192.168.1.200.
Session ID: numéro identifiant la session. Utilisez cet ID pour obtenir plus d’informations sur la session, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.
server-access: nom de la stratégie autorisant le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone de confiance.
In: flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est ICMP et l’interface source de cette session est ge-0/0/0.0).
Out: flux inverse (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est ICMP et l’interface de destination de cette session est ge-0/0/1.0).
Exemple : configuration du NAT de destination pour la traduction d’adresses IP et de ports
Cet exemple décrit comment configurer les mappages NAT de destination d’une adresse publique vers des adresses privées, en fonction du numéro de port.
Exigences
Avant de commencer :
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.
Aperçu
Cet exemple utilise la zone de sécurité de confiance pour l’espace d’adressage privé et la zone de sécurité de non-confiance pour l’espace d’adressage public. Sur la Figure 2, les périphériques de la zone non approuvée accèdent aux serveurs de la zone de confiance via l’adresse publique 203.0.113.200 sur le port 80 ou 8000. Les paquets entrant dans l’équipement de sécurité de Juniper Networks depuis la zone d’exclusion sont mappés aux adresses privées des serveurs comme suit :
L’adresse IP de destination 203.0.113.200 et le port 80 sont traduits en adresse privée 192.168.1.200 et le port 80.
L’adresse IP de destination 203.0.113.200 et le port 8000 sont traduits en adresse privée 192.168.1.220 et le port 8000.
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-pool-1NAT de destination contenant l’adresse IP 192.168.1.200, port 80.Pool
dst-nat-pool-2NAT de destination contenant l’adresse IP 192.168.1.220 et le port 8000.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets reçus de la zone non approuvée avec l’adresse IP de destination 203.0.113.200 et le port de destination 80. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dans ledst-nat-pool-1pool.Ensemble
rs1de règles NAT de destination avec une règler2pour faire correspondre les paquets reçus de la zone non approuvée avec l’adresse IP de destination 203.0.113.200 et le port de destination 8000. Pour les paquets correspondants, l’adresse IP de destination et le port sont traduits en adresse et port dans ledst-nat-pool-2pool.ARP proxy pour l’adresse 203.0.113.200/32. Cela permet à l’équipement de sécurité Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour cette adresse.
Stratégies de sécurité autorisant le trafic de la zone non approuvée vers les adresses IP de destination traduites dans la zone de confiance.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer un mappage NAT de destination d’une adresse publique à une adresse privée :
Créez des pools NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configurez le proxy ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configurez les adresses dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers les serveurs de la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation de la règle NAT de destination
- Vérification de l’application NAT au trafic
Vérification de l’utilisation du pool NAT de destination
But
Vérifiez que le trafic utilise les adresses IP du pool NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation de la règle NAT de destination
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Traductions pour vérifier le trafic qui correspond à la règle.
Exemple : configuration du NAT de destination pour la traduction de sous-réseau
Cet exemple décrit comment configurer un mappage NAT de destination d’une adresse de sous-réseau publique à une adresse de sous-réseau privé.
Le mappage d’adresses d’un sous-réseau à un autre peut également être réalisé avec le NAT statique. Le mappage NAT statique permet d’établir des connexions de part et d’autre de l’équipement de passerelle, tandis que le NAT de destination permet d’établir des connexions d’un seul côté. Cependant, le NAT statique n’autorise les traductions qu’entre blocs d’adresses de même taille.
Exigences
Avant de commencer :
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.
Aperçu
Cet exemple utilise la zone de sécurité de confiance pour l’espace d’adressage privé et la zone de sécurité de non-confiance pour l’espace d’adressage public. Sur la Figure 3, les équipements de la zone non approuvée accèdent aux équipements de la zone de confiance via l’adresse de sous-réseau publique 203.0.113.0/24. Pour les paquets qui pénètrent dans l’équipement de sécurité Juniper Networks à partir de la zone de confidentialité et dont l’adresse IP de destination se trouve dans le sous-réseau 203.0.113.0/24, l’adresse IP de destination est convertie en adresse privée sur le sous-réseau 192.168.1.0/24.
du sous-réseau NAT de destination
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-pool-1NAT de destination contenant l’adresse IP 192.168.1.0/24.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets reçus de l’interface ge-0/0/0.0 avec l’adresse IP de destination sur le sous-réseau 203.0.113.0/24. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dans ledst-nat-pool-1pool.ARP proxy pour les adresses 203.0.113.1/32 à 203.0.113.62/32 sur l’interface ge-0/0/0.0 ; il s’agit des adresses IP des hôtes qui doivent être traduites à partir du sous-réseau 203.0.113.0/24. Cela permet à l’équipement de sécurité Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour ces adresses. L’adresse 203.0.113.0/24 est affectée à l’interface elle-même, de sorte que cette adresse n’est pas incluse dans la configuration ARP du proxy. Les adresses qui ne sont pas comprises entre 203.0.113.1/32 et 203.0.113.62/32 ne sont pas censées être présentes sur le réseau et ne sont pas traduites.
Stratégies de sécurité autorisant le trafic de la zone non approuvée vers les adresses IP de destination traduites dans la zone de confiance.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer un mappage NAT de destination d’une adresse de sous-réseau publique à une adresse de sous-réseau privée :
Créez le pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en une adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez le proxy ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers les appareils de la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation de la règle NAT de destination
- Vérification de l’application NAT au trafic
Vérification de l’utilisation du pool NAT de destination
But
Vérifiez que le trafic utilise les adresses IP du pool NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation de la règle NAT de destination
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Traductions pour vérifier le trafic qui correspond à la règle.
Surveillance des informations NAT de destination
But
Affichez le tableau récapitulatif de la traduction d’adresses réseau (NAT) de destination et les détails des informations du pool d’adresses NAT de destination spécifié.
Action
Sélectionnez Monitor>NAT> Destination NAT dans l’interface utilisateur de J-Web, ou entrez les commandes CLI suivantes :
show security nat destination summaryshow security nat destination pool pool-name
Le Tableau 2 récapitule les principaux champs de sortie de l’affichage NAT de destination.
Champ |
Valeurs |
Action |
|---|---|---|
| Règlement | ||
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
Sélectionnez tous les ensembles de règles ou un ensemble de règles spécifique à afficher dans la liste. |
Total des règles |
Nombre de règles configurées. |
– |
ID |
Numéro d’ID de la règle. |
– |
Nom |
Nom de la règle . |
– |
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
– |
De |
Nom de l’instance/zone/interface de routage d’où le paquet circule. |
– |
Plage d’adresses sources |
Plage d’adresses IP sources dans le pool source. |
– |
Plage d’adresses de destination |
Plage d’adresses IP de destination dans le pool source. |
– |
Port de destination |
Port de destination dans le pool de destination. |
– |
Protocole IP |
Protocole IP. |
– |
Action |
Action effectuée pour un paquet qui correspond à une règle. |
– |
Seuil d’alarme |
Seuil d’alarme d’utilisation. |
– |
Sessions (Succ/Échec/En cours) |
Sessions réussies, en échec et en cours.
|
– |
Correspondances de traduction |
Nombre de fois qu’une traduction de la table de traduction est utilisée pour une règle NAT de destination. |
– |
| Piscines | ||
Nom du pool |
Les noms des pools. |
Sélectionnez tous les pools ou un pool spécifique à afficher dans la liste. |
Total Pools |
Nombre total de pools ajoutés. |
– |
ID |
ID de la piscine. |
– |
Nom |
Nom du pool de destination. |
– |
Plage d’adresses |
Plage d’adresses IP dans le pool de destination. |
– |
Port |
Numéro de port de destination dans le pool. |
– |
Instance de routage |
Nom de l’instance de routage. |
– |
Nombre total d’adresses |
Adresse IP totale, ensemble d’adresses IP ou entrée dans le carnet d’adresses. |
– |
Correspondances de traduction |
Nombre de fois qu’une traduction de la table de traduction est utilisée pour le NAT de destination. |
– |
| Top 10 des traductions réussies | ||
Graphique |
Affiche le graphique des 10 principaux résultats de traduction. |
– |