kriks Опубликовано 18 ноября, 2011 · Жалоба Кто имел дело с такой железкой, помогите реализовать такую схему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 21 ноября, 2011 (изменено) · Жалоба Если на фаерволе нормально расставлены зоны (по умолчанию вроде untrust - наружу, trust - внутрь), то последовательность команд для создания проброса снаружи внутрь должна быть примерно следующая: set security nat destination pool server_dst_nat_pool address 192.168.0.1/32 set security nat destination rule-set dst-nat-01 rule server_dst_nat_rule match source-address 0.0.0.0/0 set security nat destination rule-set dst-nat-01 rule server_dst_nat_rule match destination-address 10.0.0.1/32 set security nat destination rule-set dst-nat-01 rule server_dst_nat_rule match destination-port 80 set security nat destination rule-set dst-nat-01 rule server_dst_nat_rule then destination-nat pool server_dst_nat_pool set security zones security-zone trust address-book address 192.168.0.1/32 192.168.0.1/32 set security policies from-zone untrust to-zone trust policy untrust_to_trust_server match source-address any set security policies from-zone untrust to-zone trust policy untrust_to_trust_server match destination-address 192.168.0.1/32 set security policies from-zone untrust to-zone trust policy untrust_to_trust_server match application junos-http set security policies from-zone untrust to-zone trust policy untrust_to_trust_server then permit Все делается в консоли, предварительно нужно сказать configure, а в завершение - commit. Ну и вебадминка роутера после этого станет недоступна на внешнем интерфейсе. Изменено 21 ноября, 2011 пользователем msdt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kriks Опубликовано 4 декабря, 2011 · Жалоба Сделал как вы подсказали: Результат команды commit krik@junos.gw.bee-media.org# commit [edit security nat destination] 'rule-set dst-nat' Missing mandatory statement: 'from' error: commit failed: (missing statements) [edit] krik@junos.gw.bee-media.org# --- JUNOS 10.4R3.4 built 2011-03-19 22:29:40 UTC krik@junos.gw.bee-media.org# edit security nat destination [edit security nat destination] krik@junos.gw.bee-media.org# show pool server_dst_nat_pool { address 192.168.100.2/32; } rule-set dst-nat { rule server_dst_nat_rule { match { source-address 0.0.0.0/0; destination-address 10.61.128.16/32; destination-port 22; } then { destination-nat pool server_dst_nat_pool; } } ## Warning: missing mandatory statement(s): 'from' } [edit security nat destination] krik@junos.gw.bee-media.org# interfaces { fe-0/0/0 { description For_operator; unit 0 { family inet { address 10.61.128.16/21; } } } Я извиняюсь, ещё до конца не изучил синтаксис Junosa. Подскажите, что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kriks Опубликовано 4 декабря, 2011 · Жалоба Спасибо, разобрался. Не хватало set security nat destination rule-set dst-nat from zone untrust Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 4 декабря, 2011 · Жалоба Спасибо, разобрался. Не хватало set security nat destination rule-set dst-nat from zone untrust Точно, упустил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kriks Опубликовано 4 декабря, 2011 · Жалоба Спасибо, разобрался. Не хватало set security nat destination rule-set dst-nat from zone untrust Точно, упустил... Ещё раз спасибо. Все классно работает, теперь по такому подобию можно и другие порты пробрасывать. Возможно кому либо понадобится такой конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilia.Y Опубликовано 21 февраля, 2013 · Жалоба У меня всеравно не олучилось, пишет: А как пробросить 55777 туда и обратно? т.е. из траста в антраст и из антраста в трас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...