Перейти к содержимому
Калькуляторы

NAT на SRX

Есть SRX240. Настроен давно, обслуживает пару серверов - firewall с выходом в интернет.

Решил на него повесить дополнительно сетку пользователей.

Настроил все по книге и по аналогии с серверами, за исключением того, что для пользователей нужен NAT, и не нужен входящий трафик.

Нат настроил на интерфейс.

 

Проверяю - icmp есть, tcp - не вижу.

Смотрю на маршрутизаторе между SRX и интернетом - вижу и исходящий запрос правильно транслированный и входящий ответ от хоста в интернете, но у пользователя ничего нет.

 

Вопросы такие:

Как подойти к диагностике? Что посмотреть?

Как посмотреть на самом SRX - что проходит по интерфейсам? monitor traffic interface xxx ничего вразумительного не пишет. как его правильно вызывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

конфиг в студию

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lacost,

show security flow session source-prefix(address) x.x.x.x

show security nat session

show conf security nat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обращаюсь на 87.245.205.6

 

show security flow session source-prefix 10.10.20.14    
Session ID: 48711, Policy name: office-to-untrust/17, Timeout: 298, Valid
 In: 10.10.20.14/51033 --> 87.245.205.6/80;tcp, If: vlan.692, Pkts: 10, Bytes: 1978
 Out: 87.245.205.6/80 --> 109.95.77.193/31773;tcp, If: ge-0/0/0.0, Pkts: 3, Bytes: 156
Total sessions: 1

 

show security nat session - такой команды не знает.

 

Конфигурация:

 

> show configuration security nat
source {
   rule-set office-nat {
       from zone office;
       to zone untrust;
       rule rule1 {
           match {
               source-address 0.0.0.0/0;
               destination-address 0.0.0.0/0;
           }
           then {
               source-nat {
                   interface;
               }
           }
       }
   }
}

> show configuration security policies from-zone office to-zone untrust
policy office-to-untrust {
   match {
       source-address any;
       destination-address any;
       application any;
   }
   then {
       permit;
   }
}


 

Смотрю Windump на пользовательской машине, вижу что интернет-хост даже пытается ответить.

Изменено пользователем lacost

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перевел на pool - заработало.

 

С интерфейсом какая-то темная история. Закрыта тема.

Изменено пользователем lacost

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.