Перейти к содержимому
Калькуляторы

настройка junos настройка для роутера j-серии

Всем добрый день. Есть железка Juniper J-2320, на ней стоит свежий junos 10.0R2.10. Хочу настроить железку для ната во внешнюю сеть.

Имеем внешний интерфейс, смотрящий в сеть провайдера - ge-0/0/0.0 (ip 10.100.0.3/22 gw 10.100.0.1). внутренний интерфейс ge-0/0/1.0 (ip 192.168.1.1/24) смотрящий в локалку. Пытаюсь для начала открыть пинг извне, чтобы из разных точек можно было проверять доступность данного роутера, но не получается никак. даже если отключаю файрвол, то не могу пинговать железку. но при отключении файрвола могу пинговать другие адреса...

вот конфиг:

root@spb-gw> show configuration
## Last commit: 2010-01-15 20:13:20 MSK by root
version 10.0R2.10;
system {
    host-name spb-gw;
    time-zone Europe/Moscow;
    root-authentication {
        encrypted-password "$1$0dsZBXeZ$7TEOHpp4YgEfEi3Sx5Yb.0"; ## SECRET-DATA
    }
    name-server {
        192.168.248.21;
    }
    services {
        ssh;
        web-management {
            http {
                interface ge-0/0/1.0;
            }
        }
    }
    syslog {
        user * {
            any emergency;
        }
        file messages {
            any any;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ntp {
        server 77.234.200.98;
        server 87.236.24.178;
        server 85.21.78.6;
        server 193.125.143.173;
        server 83.229.210.18;
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family inet {
                address 10.100.0.3/22;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            description localnet;
            family inet {
                address 192.168.1.1/24;
            }
        }
    }
    lo0 {
        unit 0 {
            family inet {
                address 127.0.0.1/32;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.100.0.1;
    }
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    queue-size 2000; ## Warning: 'queue-size' is deprecated
                    timeout 20;
                }
                land;
            }
        }
    }
    zones {
        security-zone trust {
            tcp-rst;
            interfaces {
                ge-0/0/1.0 {
                    host-inbound-traffic {
                        system-services {
                            ssh;
                            http;
                            https;
                            ping;
                        }
                    }
                }
            }
        }
        security-zone untrust {
            screen untrust-screen;
        }
        security-zone trust-ping {
            tcp-rst;
            interfaces {
                ge-0/0/0.0;
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy default-permit {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone untrust {
            policy default-permit {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust-ping to-zone trust {
            policy permit-ping {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust-ping to-zone untrust {
            policy permit-ping1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone trust-ping {
            policy permit-ping2 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone untrust to-zone trust-ping {
            policy permit-ping3 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {
            permit-all;
        }
    }
}

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас оба адреса серые (10.100.0.3/22, 192.168.1.1/24), т.е. в Интернете они не маршрутизируются по определению, и по адресу 10.100.0.3 вас никто не сможет пинговать извне. Скажите своему провайдеру, чтобы он выдал вам белый адрес.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

белый адрес есть, он натится на этот 1 к 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

белый адрес есть, он натится на этот 1 к 1.

Он должен транслироваться в двух направлениях (binat), это во-первых. Во-вторых, чтобы понять где проблема, нужно видеть traceroute.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пров организует нат 1 к 1 в обоих направлениях. меня интересует, почему я не могу пинговать, даже если нахожусь в одной сетке адресом на ge-0/0/0.0, например с 10.100.0.5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос по нату снят... единственное ftp не работает почемуто... но, видимо, это издержки тестового стенда.

с пингом вопрос открыт.. не получается заставить пинговаться внешний интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.