Nikolaicheg Posted January 15, 2010 Posted January 15, 2010 Всем добрый день. Есть железка Juniper J-2320, на ней стоит свежий junos 10.0R2.10. Хочу настроить железку для ната во внешнюю сеть. Имеем внешний интерфейс, смотрящий в сеть провайдера - ge-0/0/0.0 (ip 10.100.0.3/22 gw 10.100.0.1). внутренний интерфейс ge-0/0/1.0 (ip 192.168.1.1/24) смотрящий в локалку. Пытаюсь для начала открыть пинг извне, чтобы из разных точек можно было проверять доступность данного роутера, но не получается никак. даже если отключаю файрвол, то не могу пинговать железку. но при отключении файрвола могу пинговать другие адреса... вот конфиг: root@spb-gw> show configuration ## Last commit: 2010-01-15 20:13:20 MSK by root version 10.0R2.10; system { host-name spb-gw; time-zone Europe/Moscow; root-authentication { encrypted-password "$1$0dsZBXeZ$7TEOHpp4YgEfEi3Sx5Yb.0"; ## SECRET-DATA } name-server { 192.168.248.21; } services { ssh; web-management { http { interface ge-0/0/1.0; } } } syslog { user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; } } license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 77.234.200.98; server 87.236.24.178; server 85.21.78.6; server 193.125.143.173; server 83.229.210.18; } } interfaces { ge-0/0/0 { unit 0 { family inet { address 10.100.0.3/22; } } } ge-0/0/1 { unit 0 { description localnet; family inet { address 192.168.1.1/24; } } } lo0 { unit 0 { family inet { address 127.0.0.1/32; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.100.0.1; } } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; queue-size 2000; ## Warning: 'queue-size' is deprecated timeout 20; } land; } } } zones { security-zone trust { tcp-rst; interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { ssh; http; https; ping; } } } } } security-zone untrust { screen untrust-screen; } security-zone trust-ping { tcp-rst; interfaces { ge-0/0/0.0; } } } policies { from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust-ping to-zone trust { policy permit-ping { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust-ping to-zone untrust { policy permit-ping1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone trust-ping { policy permit-ping2 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust-ping { policy permit-ping3 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } } Вставить ник Quote
photon Posted January 16, 2010 Posted January 16, 2010 (edited) У вас оба адреса серые (10.100.0.3/22, 192.168.1.1/24), т.е. в Интернете они не маршрутизируются по определению, и по адресу 10.100.0.3 вас никто не сможет пинговать извне. Скажите своему провайдеру, чтобы он выдал вам белый адрес. Edited January 16, 2010 by photon Вставить ник Quote
Nikolaicheg Posted January 17, 2010 Author Posted January 17, 2010 белый адрес есть, он натится на этот 1 к 1. Вставить ник Quote
photon Posted January 17, 2010 Posted January 17, 2010 белый адрес есть, он натится на этот 1 к 1. Он должен транслироваться в двух направлениях (binat), это во-первых. Во-вторых, чтобы понять где проблема, нужно видеть traceroute. Вставить ник Quote
Nikolaicheg Posted January 17, 2010 Author Posted January 17, 2010 пров организует нат 1 к 1 в обоих направлениях. меня интересует, почему я не могу пинговать, даже если нахожусь в одной сетке адресом на ge-0/0/0.0, например с 10.100.0.5. Вставить ник Quote
Nikolaicheg Posted January 20, 2010 Author Posted January 20, 2010 вопрос по нату снят... единственное ftp не работает почемуто... но, видимо, это издержки тестового стенда. с пингом вопрос открыт.. не получается заставить пинговаться внешний интерфейс. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.