Nikolaicheg Опубликовано 15 января, 2010 · Жалоба Всем добрый день. Есть железка Juniper J-2320, на ней стоит свежий junos 10.0R2.10. Хочу настроить железку для ната во внешнюю сеть. Имеем внешний интерфейс, смотрящий в сеть провайдера - ge-0/0/0.0 (ip 10.100.0.3/22 gw 10.100.0.1). внутренний интерфейс ge-0/0/1.0 (ip 192.168.1.1/24) смотрящий в локалку. Пытаюсь для начала открыть пинг извне, чтобы из разных точек можно было проверять доступность данного роутера, но не получается никак. даже если отключаю файрвол, то не могу пинговать железку. но при отключении файрвола могу пинговать другие адреса... вот конфиг: root@spb-gw> show configuration ## Last commit: 2010-01-15 20:13:20 MSK by root version 10.0R2.10; system { host-name spb-gw; time-zone Europe/Moscow; root-authentication { encrypted-password "$1$0dsZBXeZ$7TEOHpp4YgEfEi3Sx5Yb.0"; ## SECRET-DATA } name-server { 192.168.248.21; } services { ssh; web-management { http { interface ge-0/0/1.0; } } } syslog { user * { any emergency; } file messages { any any; authorization info; } file interactive-commands { interactive-commands any; } } license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 77.234.200.98; server 87.236.24.178; server 85.21.78.6; server 193.125.143.173; server 83.229.210.18; } } interfaces { ge-0/0/0 { unit 0 { family inet { address 10.100.0.3/22; } } } ge-0/0/1 { unit 0 { description localnet; family inet { address 192.168.1.1/24; } } } lo0 { unit 0 { family inet { address 127.0.0.1/32; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.100.0.1; } } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; queue-size 2000; ## Warning: 'queue-size' is deprecated timeout 20; } land; } } } zones { security-zone trust { tcp-rst; interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { ssh; http; https; ping; } } } } } security-zone untrust { screen untrust-screen; } security-zone trust-ping { tcp-rst; interfaces { ge-0/0/0.0; } } } policies { from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust-ping to-zone trust { policy permit-ping { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust-ping to-zone untrust { policy permit-ping1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone trust-ping { policy permit-ping2 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust-ping { policy permit-ping3 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 16 января, 2010 (изменено) · Жалоба У вас оба адреса серые (10.100.0.3/22, 192.168.1.1/24), т.е. в Интернете они не маршрутизируются по определению, и по адресу 10.100.0.3 вас никто не сможет пинговать извне. Скажите своему провайдеру, чтобы он выдал вам белый адрес. Изменено 16 января, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 17 января, 2010 · Жалоба белый адрес есть, он натится на этот 1 к 1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 17 января, 2010 · Жалоба белый адрес есть, он натится на этот 1 к 1. Он должен транслироваться в двух направлениях (binat), это во-первых. Во-вторых, чтобы понять где проблема, нужно видеть traceroute. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 17 января, 2010 · Жалоба пров организует нат 1 к 1 в обоих направлениях. меня интересует, почему я не могу пинговать, даже если нахожусь в одной сетке адресом на ge-0/0/0.0, например с 10.100.0.5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 20 января, 2010 · Жалоба вопрос по нату снят... единственное ftp не работает почемуто... но, видимо, это издержки тестового стенда. с пингом вопрос открыт.. не получается заставить пинговаться внешний интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...