lacost Posted October 13, 2015 Есть SRX240. Настроен давно, обслуживает пару серверов - firewall с выходом в интернет. Решил на него повесить дополнительно сетку пользователей. Настроил все по книге и по аналогии с серверами, за исключением того, что для пользователей нужен NAT, и не нужен входящий трафик. Нат настроил на интерфейс. Проверяю - icmp есть, tcp - не вижу. Смотрю на маршрутизаторе между SRX и интернетом - вижу и исходящий запрос правильно транслированный и входящий ответ от хоста в интернете, но у пользователя ничего нет. Вопросы такие: Как подойти к диагностике? Что посмотреть? Как посмотреть на самом SRX - что проходит по интерфейсам? monitor traffic interface xxx ничего вразумительного не пишет. как его правильно вызывать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted October 13, 2015 конфиг в студию Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted October 13, 2015 lacost, show security flow session source-prefix(address) x.x.x.x show security nat session show conf security nat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lacost Posted October 14, 2015 (edited) Обращаюсь на 87.245.205.6 show security flow session source-prefix 10.10.20.14 Session ID: 48711, Policy name: office-to-untrust/17, Timeout: 298, Valid In: 10.10.20.14/51033 --> 87.245.205.6/80;tcp, If: vlan.692, Pkts: 10, Bytes: 1978 Out: 87.245.205.6/80 --> 109.95.77.193/31773;tcp, If: ge-0/0/0.0, Pkts: 3, Bytes: 156 Total sessions: 1 show security nat session - такой команды не знает. Конфигурация: > show configuration security nat source { rule-set office-nat { from zone office; to zone untrust; rule rule1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } } > show configuration security policies from-zone office to-zone untrust policy office-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } Смотрю Windump на пользовательской машине, вижу что интернет-хост даже пытается ответить. Edited October 14, 2015 by lacost Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lacost Posted October 15, 2015 (edited) Перевел на pool - заработало. С интерфейсом какая-то темная история. Закрыта тема. Edited October 15, 2015 by lacost Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
