Destination NAT
Le NAT de destination modifie l’adresse de destination des paquets passant par le routeur. Il offre également la possibilité d’effectuer la traduction des ports dans les en-têtes TCP/UDP. Le NAT de destination est principalement utilisé pour rediriger les paquets entrants avec une adresse ou un port de destination externe vers une adresse IP interne ou un port à l’intérieur du réseau.
Comprendre le NAT de destination
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Lorsque le NAT de destination est exécuté, l’adresse IP de destination est convertie en fonction des règles NAT de destination configurées, puis les stratégies de sécurité sont appliquées.
Le NAT de destination permet d’initier des connexions uniquement pour les connexions réseau entrantes, par exemple depuis Internet vers un réseau privé. Le NAT de destination est couramment utilisé pour effectuer les actions suivantes :
Convertir une adresse IP unique en une autre adresse (par exemple, pour permettre à un appareil sur Internet de se connecter à un hôte sur un réseau privé).
Convertir un bloc d’adresses contigu en un autre bloc d’adresses de même taille (par exemple, pour autoriser l’accès à un groupe de serveurs).
Convertir une adresse IP et un port de destination en une autre adresse IP et un autre port de destination (par exemple, pour autoriser l’accès à plusieurs services utilisant la même adresse IP mais des ports différents).
Les types de NAT de destination suivants sont pris en charge :
Conversion de l’adresse IP de destination d’origine en une adresse IP issue d’un pool défini par l’utilisateur. Ce type de traduction n’inclut pas la traduction d’adresses de ports (PAT). Si la plage d’adresses IP de destination d’origine est supérieure à la plage d’adresses du pool d’adresses défini par l’utilisateur, tous les paquets non traduits sont perdus.
Conversion de l’adresse IP de destination d’origine (et du numéro de port facultatif) en une adresse IP spécifique (et un numéro de port) à partir d’un pool défini par l’utilisateur.
Présentation des pools d’adresses NAT de destination
Un pool NAT est un ensemble d’adresses IP défini par l’utilisateur qui est utilisé pour la traduction. Contrairement au NAT statique, où il existe un mappage un-à-un qui inclut la traduction des adresses IP de destination dans un sens et la traduction des adresses IP sources dans le sens inverse, avec le NAT de destination, vous traduisez l’adresse de destination d’origine en une adresse IP dans le pool d’adresses.
Pour les pools d’adresses NAT de destination, spécifiez les éléments suivants :
Nom du pool d’adresses NAT de destination
Adresse de destination ou plage d’adresses
Ne chevauchez pas NAT adresses pour les NAT source, les NAT de destination et les NAT statiques au sein d’une même instance de routage.
Port de destination utilisé pour le transfert de port
Instance de routage à laquelle appartient le pool : un pool NAT de destination qui ne spécifie pas d’instance de routage spécifique utilisera par défaut l’instance de routage de la zone d’entrée.
Vous pouvez configurer un pool NAT pour qu’il existe dans l’instance de routage par défaut. L’option de configuration permettant de spécifier qu’un pool NAT existe dans l’instance de routage par défaut est disponible. Par conséquent, le pool NAT est accessible à partir des zones de l’instance de routage par défaut et des zones d’autres instances de routage.
Comprendre les règles NAT de destination
Les règles NAT de destination spécifient deux couches de conditions de correspondance :
Direction du trafic : permet de spécifier
from interface,from zoneoufrom routing-instance.Informations sur les paquets : adresses IP source, adresse IP ou sous-réseau de destination, numéros ou plages de ports de destination, protocoles ou applications.
Pour le trafic ALG, nous vous recommandons de ne pas utiliser l’option destination-port ou l’option application comme conditions de correspondance. Si ces options sont utilisées, la traduction peut échouer car la valeur du port dans la charge utile de l’application peut ne pas correspondre à la valeur du port dans l’adresse IP.
Si plusieurs règles NAT de destination se chevauchent dans les conditions de correspondance, la règle la plus spécifique est choisie. Par exemple, si les règles A et B spécifient les mêmes adresses IP source et de destination, mais que la règle A spécifie le trafic de la zone 1 et la règle B spécifie le trafic provenant de l’interface ge-0/0/0, la règle B est utilisée pour effectuer le NAT de destination. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage.
Les actions que vous pouvez spécifier pour une règle NAT de destination sont les suivantes :
off : ne pas effectuer de NAT de destination.
pool : utilise le pool d’adresses défini par l’utilisateur spécifié pour effectuer le NAT de destination.
Les règles NAT de destination sont appliquées au trafic dans le premier paquet traité pour le flux ou dans le chemin rapide pour l’ALG. Les règles NAT de destination sont traitées après les règles NAT statiques, mais avant les règles NAT source.
Présentation de la configuration du NAT de destination
Les principales tâches de configuration pour le NAT de destination sont les suivantes :
- Configurez un pool d’adresses NAT de destination adapté à vos exigences réseau et de sécurité.
- Configurez des règles NAT de destination en fonction de vos exigences réseau et de sécurité.
- Configurez les entrées ARP du proxy NAT pour les adresses IP dans le même sous-réseau de l’interface entrante.
Exemple : Configuration du NAT de destination pour la traduction d’adresse unique
Cet exemple décrit comment configurer un mappage NAT de destination d’une adresse publique unique à une adresse privée.
Le mappage d’une adresse IP de destination à une autre peut également être réalisé avec des NAT statiques. Le mappage de NAT statique permet d’établir des connexions d’un côté ou de l’autre de l’appareil passerelle, tandis que le NAT de destination ne permet d’établir des connexions que d’un seul côté. Cependant, le NAT statique ne permet que les traductions d’une adresse à une autre ou entre des blocs d’adresses de même taille.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series
Serveur
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir le guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Le NAT de destination est couramment utilisé pour distribuer un service situé dans un réseau privé avec une adresse IP accessible au public. Cela permet aux utilisateurs d’utiliser le service privé avec l’adresse IP publique. Les configurations du pool d’adresses NAT de destination et des règles NAT de destination sont utilisées pour aligner votre réseau et améliorer les exigences de sécurité.
Dans cet exemple, vous configurez d’abord la zone de sécurité approuvée pour l’espace d’adressage privé, puis vous configurez la zone de sécurité non approuvée pour l’espace d’adressage public. Sur la Figure 1, les appareils de la zone non approuvée accèdent à un serveur de la zone approuvée par le biais de l’adresse publique 203.0.113.200/32. Pour les paquets qui pénètrent dans l’équipement de sécurité de Juniper Networks à partir de la zone non approuvée avec l’adresse IP de destination 203.0.113.200/32, l’adresse IP de destination est traduite en l’adresse privée 192.168.1.200/32.
Topologie
Le Tableau 1 présente les paramètres configurés dans cet exemple.
Paramètre |
Descriptif |
|---|---|
Zone de confiance |
Zone de sécurité pour l’espace d’adressage privé. |
Zone de non-confiance |
Zone de sécurité pour l’espace de sonorisation. |
192.168.1.200/32 |
Adresse IP NAT de destination traduite. |
192.168.1.0/24 |
Sous-réseau privé dans une zone privée. |
203.0.113.200/32 |
Adresse publique du serveur. |
Serveur |
Adresse du serveur de l’espace d’adressage privé. |
GE-0/0/0 et GE-1/0/0 |
Interfaces NAT pour la direction du trafic. |
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-pool-1de NAT de destination contenant l’adresse IP 192.168.1.200/32.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets reçus de l’interface ge-0/0/0.0 avec l’adresse IP de destination 203.0.113.200/32. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dudst-nat-pool-1pool.ARP de proxy pour l’adresse 203.0.113.200/32 sur l’interface ge-0/0/0.0. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface de cette adresse.
Des stratégies de sécurité pour autoriser le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone approuvée.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer un mappage NAT de destination d’une adresse publique à une adresse privée :
Créez le pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers le serveur situé dans la zone approuvée.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant la show interfacescommande , show security zoneset . show bridge-domains Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation des règles NAT de destination
- Vérification du NAT de destination pour une traduction d’adresse unique
- Vérification de l’application NAT pour le trafic
Vérification de l’utilisation du pool NAT de destination
Objet
Vérifiez qu’il existe du trafic à l’aide des adresses IP du pool NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Signification
La show security nat destination pool all commande affiche le pool d’adresses traduites. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation des règles NAT de destination
Objet
Vérifiez qu’il existe un trafic correspondant à la règle NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination rule all commande.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Signification
La show security nat destination rule all commande affiche la règle NAT de destination. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle de destination.
Vérification du NAT de destination pour une traduction d’adresse unique
Objet
Vérifiez la configuration du NAT de destination pour une traduction d’adresse unique.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination summary commande.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Signification
La show security nat destination summary commande affiche des informations sur la configuration NAT de destination. Vous pouvez vérifier les informations suivantes :
Ensembles de règles
Règles
Plage d’adresses
Pool de NAT
Détails du port
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Signification
La show security flow session commande affiche les sessions actives sur l’appareil et la stratégie de sécurité associée à chaque session. La sortie montre le trafic entrant dans le périphérique destiné à un hôte public à 203.0.113.200 qui est traduit en adresse IP de destination privée 192.168.1.200.
Session ID: numéro identifiant la session. Utilisez cet ID pour obtenir plus d’informations sur la session, comme le nom de la stratégie ou le nombre de paquets entrants et sortants.
server-access: nom de stratégie qui autorisait le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone approuvée.
In—Flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est ICMP et l’interface source de cette session est ge-0/0/0.0).
Out—Flux inverse (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est ICMP et l’interface de destination de cette session est ge-0/0/1.0).
Exemple : Configuration du NAT de destination pour la traduction d’adresses IP et de ports
Cet exemple décrit comment configurer les mappages NAT de destination d’une adresse publique vers des adresses privées, en fonction du numéro de port.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public. Sur la Figure 2, les appareils de la zone non approuvée accèdent aux serveurs de la zone approuvée par le biais de l’adresse publique 203.0.113.200 sur le port 80 ou 8000. Les paquets entrant dans la zone de non-confiance entrant dans l’équipement de sécurité de Juniper Networks sont mappés aux adresses privées des serveurs comme suit :
L’adresse IP de destination 203.0.113.200 et le port 80 sont traduits en l’adresse privée 192.168.1.200 et le port 80.
L’adresse IP de destination 203.0.113.200 et le port 8000 sont traduits en l’adresse privée 192.168.1.220 et le port 8000.
de port
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-pool-1de NAT de destination contenant l’adresse IP 192.168.1.200 port 80.Pool
dst-nat-pool-2de NAT de destination contenant l’adresse IP 192.168.1.220 et le port 8000.Jeu de règles
rs1NAT de destination avec une règler1pour faire correspondre les paquets reçus de la zone non approuvée avec l’adresse IP de destination 203.0.113.200 et le port de destination 80. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dudst-nat-pool-1pool.Jeu de règles
rs1NAT de destination avec une règler2pour faire correspondre les paquets reçus de la zone non approuvée avec l’adresse IP de destination 203.0.113.200 et le port de destination 8000. Pour faire correspondre les paquets, l’adresse IP et le port de destination sont traduits en adresse et endst-nat-pool-2port du pool.ARP de proxy pour l’adresse 203.0.113.200/32. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface de cette adresse.
Des stratégies de sécurité pour autoriser le trafic de la zone non approuvée vers les adresses IP de destination traduites dans la zone approuvée.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un mappage NAT de destination d’une adresse publique à une adresse privée :
Créez des pools NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en adresse du pool.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configurez les adresses dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers les serveurs de la zone approuvée.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation des règles NAT de destination
- Vérification de l’application NAT pour le trafic
Vérification de l’utilisation du pool NAT de destination
Objet
Vérifiez qu’il existe du trafic à l’aide des adresses IP du pool NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation des règles NAT de destination
Objet
Vérifiez qu’il existe un trafic correspondant à la règle NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Exemple : configuration du NAT de destination pour la conversion de sous-réseau
Cet exemple décrit comment configurer un mappage NAT de destination d’une adresse de sous-réseau publique à une adresse de sous-réseau privée.
Le mappage d’adresses d’un sous-réseau à un autre peut également être réalisé avec des NAT statiques. Le mappage statique NAT permet d’établir des connexions d’un côté ou de l’autre de l’appareil de passerelle, tandis que le NAT de destination permet d’établir des connexions d’un seul côté. Cependant, le NAT statique ne permet que des traductions entre des blocs d’adresses de même taille.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public. Sur la Figure 3, les appareils de la zone non approuvée accèdent aux appareils de la zone approuvée par le biais de l’adresse de sous-réseau publique 203.0.113.0/24. Pour les paquets qui pénètrent dans l’équipement de sécurité de Juniper Networks à partir de la zone non approuvée avec une adresse IP de destination dans le sous-réseau 203.0.113.0/24, l’adresse IP de destination est traduite en une adresse privée sur le sous-réseau 192.168.1.0/24.
de sous-réseau NAT de destination
Cet exemple décrit les configurations suivantes :
Pool NAT de
dst-nat-pool-1destination contenant l’adresse IP 192.168.1.0/24.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets reçus de l’interface ge-0/0/0.0 avec l’adresse IP de destination sur le sous-réseau 203.0.113.0/24. Pour les paquets correspondants, l’adresse de destination est traduite en adresse dudst-nat-pool-1pool.ARP de proxy pour les adresses 203.0.113.1/32 à 203.0.113.62/32 sur l’interface ge-0/0/0.0 ; ce sont les adresses IP des hôtes qui doivent être traduites à partir du sous-réseau 203.0.113.0/24. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour ces adresses. L’adresse 203.0.113.0/24 est affectée à l’interface elle-même, de sorte qu’elle n’est pas incluse dans la configuration ARP du proxy. Les adresses qui ne se trouvent pas dans la plage 203.0.113.1/32 à 203.0.113.62/32 ne sont pas censées être présentes sur le réseau et ne doivent pas être traduites.
Des stratégies de sécurité pour autoriser le trafic de la zone non approuvée vers les adresses IP de destination traduites dans la zone approuvée.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un mappage NAT de destination d’une adresse de sous-réseau publique à une adresse de sous-réseau privée :
Créez le pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en une adresse dans le pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers les appareils qui s’y trouvent.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation des règles NAT de destination
- Vérification de l’application NAT pour le trafic
Vérification de l’utilisation du pool NAT de destination
Objet
Vérifiez qu’il existe du trafic à l’aide des adresses IP du pool NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation des règles NAT de destination
Objet
Vérifiez qu’il existe un trafic correspondant à la règle NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Surveillance des informations NAT de destination
Objet
Affichez le tableau récapitulatif de la traduction d’adresses réseau (NAT) de destination et les détails du pool d’adresses de destination NAT spécifié.
Mesures à prendre
Sélectionnez Monitor>NAT> Destination NAT dans l’interface utilisateur J-Web ou entrez les commandes CLI suivantes :
show security nat destination summaryshow security nat destination pool pool-name
Le Tableau 2 récapitule les principaux champs de sortie de l’affichage NAT de destination.
Champ |
Valeurs |
Mesures à prendre |
|---|---|---|
| Règles | ||
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
Sélectionnez tous les ensembles de règles ou un ensemble de règles spécifique à afficher dans la liste. |
Total des règles |
Nombre de règles configurées. |
– |
ID |
Numéro d’ID de la règle. |
– |
Nom |
Nom de la règle . |
– |
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
– |
De |
Nom de l’instance/zone/interface de routage à partir de laquelle le paquet s’écoule. |
– |
Plage d’adresses sources |
Plage d’adresses IP sources dans le pool source. |
– |
Plage d’adresses de destination |
Plage d’adresses IP de destination dans le pool source. |
– |
Port de destination |
Port de destination dans le pool de destination. |
– |
Protocole IP |
Protocole IP. |
– |
Mesures à prendre |
Action entreprise pour un paquet qui correspond à une règle. |
– |
Seuil d’alarme |
Seuil d’alarme d’utilisation. |
– |
Sessions (Succ/Échec/Actuel) |
Sessions réussies, échouées et en cours.
|
– |
Traductions hits |
Nombre de fois qu’une traduction dans la table de traduction est utilisée pour une règle NAT de destination. |
– |
| Piscines | ||
Nom du pool |
Les noms des piscines. |
Sélectionnez tous les pools ou un pool spécifique à afficher dans la liste. |
Total Pools |
Total des pools ajoutés. |
– |
ID |
ID du pool. |
– |
Nom |
Nom du pool de destination. |
– |
Plage d’adresses |
Plage d’adresses IP dans le pool de destination. |
– |
Port |
Numéro de port de destination dans le pool. |
– |
Instance de routage |
Nom de l’instance de routage. |
– |
Nombre total d’adresses |
Nombre total d’adresses IP, d’ensemble d’adresses IP ou d’entrée de carnet d’adresses. |
– |
Traductions hits |
Nombre de fois qu’une traduction dans la table de traduction est utilisée pour le NAT de destination. |
– |
| Top 10 des résultats de traduction | ||
Graphique |
Affiche le graphique des 10 principaux résultats de traduction. |
– |