Jump to content

NAT на SRX

lacost
 Share

Recommended Posts

lacost

lacost

Posted
Posted

Есть SRX240. Настроен давно, обслуживает пару серверов - firewall с выходом в интернет.

Решил на него повесить дополнительно сетку пользователей.

Настроил все по книге и по аналогии с серверами, за исключением того, что для пользователей нужен NAT, и не нужен входящий трафик.

Нат настроил на интерфейс.

 

Проверяю - icmp есть, tcp - не вижу.

Смотрю на маршрутизаторе между SRX и интернетом - вижу и исходящий запрос правильно транслированный и входящий ответ от хоста в интернете, но у пользователя ничего нет.

 

Вопросы такие:

Как подойти к диагностике? Что посмотреть?

Как посмотреть на самом SRX - что проходит по интерфейсам? monitor traffic interface xxx ничего вразумительного не пишет. как его правильно вызывать?

lacost

lacost

Posted
  • Author
Posted (edited)

Обращаюсь на 87.245.205.6

 

show security flow session source-prefix 10.10.20.14    
Session ID: 48711, Policy name: office-to-untrust/17, Timeout: 298, Valid
 In: 10.10.20.14/51033 --> 87.245.205.6/80;tcp, If: vlan.692, Pkts: 10, Bytes: 1978
 Out: 87.245.205.6/80 --> 109.95.77.193/31773;tcp, If: ge-0/0/0.0, Pkts: 3, Bytes: 156
Total sessions: 1

 

show security nat session - такой команды не знает.

 

Конфигурация:

 

> show configuration security nat
source {
   rule-set office-nat {
       from zone office;
       to zone untrust;
       rule rule1 {
           match {
               source-address 0.0.0.0/0;
               destination-address 0.0.0.0/0;
           }
           then {
               source-nat {
                   interface;
               }
           }
       }
   }
}

> show configuration security policies from-zone office to-zone untrust
policy office-to-untrust {
   match {
       source-address any;
       destination-address any;
       application any;
   }
   then {
       permit;
   }
}

 

Смотрю Windump на пользовательской машине, вижу что интернет-хост даже пытается ответить.

Edited by lacost

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.