Reenvío de puertos
Descripción general del reenvío de puertos
Puede asignar una dirección IP externa y un puerto con una dirección IP y un puerto en una red privada. Esta asignación, denominada reenvío de puertos, se admite en las PIC multiservicios MS-DPC, MS-100, MS-400 y MS-500. A partir de Junos OS versión 17.4R1, el reenvío de puertos también se admite en MS-MPC y MS-MIC.
El reenvío de puertos permite cambiar la dirección de destino y el puerto de un paquete para llegar al host correcto en una puerta de enlace de traducción de direcciones de red (NAT). La traducción facilita llegar a un host dentro de una red enmascarada, normalmente privada, según el número de puerto en el que se recibió el paquete del host de origen. Un ejemplo de este tipo de destino es el host de un servidor HTTP público dentro de una red privada. También puede configurar el reenvío de puertos sin traducir una dirección de destino. El reenvío de puertos admite el mapeo independiente del punto de conexión (EIM), el relleno independiente del punto de conexión (EIF) y la agrupación de direcciones emparejadas (APP).
El reenvío de puertos solo funciona con la puerta de enlace de nivel de aplicación (ALG) FTP y no admite tecnologías que ofrezcan servicios IPv6 a través de infraestructura IPv4, como el despliegue rápido de IPv6 (6rd) y el lite de doble pila (DS-Lite). El reenvío de puertos solo dnat-44
admite y twice-napt-44
en redes IPv4.
Beneficios del reenvío de puertos
Permite que equipos remotos, como máquinas públicas en Internet, se conecten a un puerto no estándar de un equipo específico que está oculto dentro de una red privada.
Configuración del reenvío de puertos para la traducción de direcciones de destino estáticas
Puede configurar la traducción de direcciones de destino con el reenvío de puertos. El reenvío de puertos permite cambiar la dirección de destino y el puerto de un paquete para llegar al host correcto en una puerta de enlace de traducción de direcciones de red (NAT). El reenvío de puertos es compatible con los PIC multiservicios MS-DPC, MS-100, MS-400 y MS-500. A partir de Junos OS versión 17.4R1, el reenvío de puertos también se admite en MS-MPC y MS-MIC.
Para configurar la traducción de direcciones de destino con reenvío de puertos:
Una configuración similar es posible con dos veces NAT para IPv4. Consulte Ejemplo: Configuración del reenvío de puertos con dos veces NAT.
El reenvío de puertos y el firewall de estado se pueden configurar juntos. El firewall de estado tiene prioridad sobre el reenvío de puertos.
Configuración del reenvío de puertos sin traducción de direcciones de destino
Puede configurar el reenvío de puertos sin traducir una dirección de destino. El reenvío de puertos permite cambiar el puerto de destino para llegar al puerto correcto en una puerta de enlace de traducción de direcciones de red (NAT). El reenvío de puertos es compatible con los PIC multiservicios MS-DPC, MS-100, MS-400 y MS-500. A partir de Junos OS versión 17.4R1, el reenvío de puertos también se admite en MS-MPC y MS-MIC.
Para configurar el reenvío de puertos sin traducción de direcciones de destino en redes IPv4:
El reenvío de puertos y el firewall de estado se pueden configurar juntos. El firewall de estado tiene prioridad sobre el reenvío de puertos.
Ejemplo: configuración del reenvío de puertos con TDR doble
En el ejemplo siguiente se configura el reenvío de puertos con twice-napt-44
como tipo de traducción. El ejemplo también tiene configurado un firewall con estado y varias asignaciones de puertos.
El reenvío de puertos es compatible con los PIC multiservicios MS-DPC, MS-100, MS-400 y MS-500. A partir de Junos OS versión 17.4R1, el reenvío de puertos también se admite en MS-MPC y MS-MIC.
[edit services] user@host# show service-set in { syslog { host local { services any; } } stateful-firewall-rules r; nat-rules r; interface-service { service-interface sp-10/0/0.0; } } stateful-firewall { rule r { match-direction input; term t { from { destination-port { range low 20 high 5000; } } then { reject; } } } } nat { pool x { address 203.0.113.2/32; } rule r { match-direction input; term t { from { destination-address { 198.51.100.2/32; } destination-port { range low 10 high 20000; } } then { port-forwarding-mappings y; translated { destination-pool x; translation-type { twice-napt-44; } } } } } port-forwarding y { destined-port 45; translated-port 23; destined-port 55; translated-port 33; destined-port 65; translated-port 43; } } adaptive-services-pics { traceoptions { file sp-trace; flag all; } }
El firewall de estado tiene prioridad sobre el reenvío de puertos. En este ejemplo, por ejemplo, no se traducirá ningún tráfico destinado a ningún puerto entre 20 y 5000.
Se pueden configurar hasta 32 mapas de puertos.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.