NAT de destino
O NAT de destino altera o endereço de destino dos pacotes que passam pelo roteador. Ele também oferece a opção de realizar a tradução de porta nos cabeçalhos TCP/UDP. NAT de destino usado principalmente para redirecionar pacotes de entrada com um endereço externo ou destino de porta para um endereço IP interno ou porta dentro da rede.
Entendendo o NAT de destino
O NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino convertido).
Quando o NAT de destino é executado, o endereço IP de destino é convertido de acordo com as regras de NAT de destino configuradas e, em seguida, as políticas de segurança são aplicadas.
O NAT de destino permite que as conexões sejam iniciadas apenas para conexões de rede de entrada, por exemplo, da Internet para uma rede privada. O NAT de destino é comumente usado para executar as seguintes ações:
Converta um único endereço IP em outro endereço (por exemplo, para permitir que um dispositivo na Internet se conecte a um host em uma rede privada).
Converta um bloco contíguo de endereços em outro bloco de endereços do mesmo tamanho (por exemplo, para permitir o acesso a um grupo de servidores).
Converta um endereço IP e uma porta de destino para outro endereço IP e porta de destino (por exemplo, para permitir o acesso a vários serviços usando o mesmo endereço IP, mas portas diferentes).
Há suporte para os seguintes tipos de NAT de destino:
Conversão do endereço IP de destino original para um endereço IP de um pool definido pelo usuário. Esse tipo de tradução não inclui a PAT (Tradução de Endereço de Porta). Se o intervalo de endereços IP de destino original for maior que o intervalo de endereços no pool de endereços definido pelo usuário, todos os pacotes não traduzidos serão descartados.
Conversão do endereço IP de destino original (e número de porta opcional) para um endereço IP específico (e número de porta) de um pool definido pelo usuário.
Entender os pools de endereços NAT de destino
Um pool NAT é um conjunto definido pelo usuário de endereços IP usados para tradução. Ao contrário do NAT estático, em que há um mapeamento um-para-um que inclui a tradução de endereço IP de destino em uma direção e a tradução de endereço IP de origem na direção inversa, com o NAT de destino, você converte o endereço de destino original em um endereço IP no pool de endereços.
Para pools de endereços NAT de destino, especifique o seguinte:
Nome do pool de endereços NAT de destino
Endereço de destino ou intervalo de endereços
Não sobreponha endereços NAT para NAT de origem, NAT de destino e NAT estático em uma instância de roteamento.
Porta de destino usada para encaminhamento de porta
Instância de roteamento à qual o pool pertence — Um pool NAT de destino que não especifica uma instância de roteamento específica será padronizado para a instância de roteamento da zona de entrada.
Você pode configurar um pool NAT para existir na instância de roteamento padrão. Opção de configuração para especificar que existe um pool NAT na instância de roteamento padrão está disponível. Como resultado, o pool NAT pode ser acessado de zonas na instância de roteamento padrão e de zonas em outras instâncias de roteamento.
Entender as regras do NAT de destino
As regras de NAT de destino especificam duas camadas de condições de correspondência:
Direção do tráfego — Permite especificar
from interface,from zoneoufrom routing-instance.Informações de pacote — podem ser endereços IP de origem, endereço IP de destino ou sub-rede, números de porta de destino ou intervalos de portas, protocolos ou aplicativos.
Para tráfego ALG, recomendamos que você não use a destination-port opção ou a application opção como condições correspondentes. Se essas opções forem usadas, a conversão poderá falhar porque o valor da porta na carga útil do aplicativo pode não corresponder ao valor da porta no endereço IP.
Se várias regras NAT de destino se sobrepuserem nas condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especificar o tráfego da zona 1 e a regra B especificar o tráfego da interface ge-0/0/0, a regra B será usada para executar o NAT de destino. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma correspondência de instância de roteamento.
As ações que você pode especificar para uma regra NAT de destino são:
off— Não execute o NAT de destino.
pool — Use o pool de endereços definido pelo usuário especificado para executar o NAT de destino.
As regras NAT de destino são aplicadas ao tráfego no primeiro pacote processado para o fluxo ou no caminho rápido para o ALG. As regras NAT de destino são processadas após as regras NAT estáticas, mas antes das regras NAT de origem.
Visão geral da configuração do NAT de destino
As principais tarefas de configuração para o NAT de destino são as seguintes:
- Configure um pool de endereços NAT de destino que se alinhe aos requisitos de rede e segurança.
- Configure regras NAT de destino que se alinhem aos requisitos de rede e segurança.
- Configure entradas ARP de proxy NAT para endereços IP na mesma sub-rede da interface de entrada.
Exemplo: configurar o NAT de destino para tradução de endereço único
Este exemplo descreve como configurar um mapeamento NAT de destino de um único endereço público para um endereço privado.
O mapeamento de um endereço IP de destino para outro também pode ser realizado com o NAT estático. O mapeamento de NAT estático permite que as conexões sejam estabelecidas de ambos os lados do dispositivo de gateway, enquanto o NAT de destino só permite que as conexões sejam estabelecidas de um lado. No entanto, o NAT estático só permite traduções de um endereço para outro ou entre blocos de endereços do mesmo tamanho.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
Firewalls da Série SRX
Servidor
Antes de começar:
Configure as interfaces de rede no dispositivo. Consulte o Guia do Usuário de Interfaces para Dispositivos de Segurança.
Crie zonas de segurança e atribua interfaces a elas. Consulte Noções Básicas Sobre Zonas de Segurança.
Visão geral
O NAT de destino é comumente usado para distribuir um serviço localizado em uma rede privada com um endereço IP acessível ao público. Isso permite que os usuários usem o serviço privado com o endereço IP público. As configurações do pool de endereços do NAT de destino e das regras do NAT de destino são usadas para alinhar sua rede e melhorar os requisitos de segurança.
Neste exemplo, primeiro você configura a zona de segurança confiável para o espaço de endereço privado e, em seguida, configura a zona de segurança não confiável para o espaço de endereço público. Na Figura 1, os dispositivos na zona não confiável acessam um servidor na zona de confiança por meio do endereço público 203.0.113.200/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com o endereço IP de destino 203.0.113.200/32, o endereço IP de destino é convertido para o endereço privado 192.168.1.200/32.
Topologia
de endereço único do NAT de destino
A Tabela 1 mostra os parâmetros configurados neste exemplo.
Parâmetro |
Descrição |
|---|---|
Zona de confiança |
Zona de Segurança para o espaço de endereço privado. |
Zona não confiável |
Zona de Segurança para o espaço de endereço público. |
192.168.1.200/32 |
Endereço IP NAT de destino traduzido. |
192.168.1.0/24 |
Sub-rede privada na zona privada. |
203.0.113.200/32 |
Endereço público do servidor. |
Servidor |
Endereço do servidor do espaço de endereço privado. |
GE-0/0/0 e GE-1/0/0 |
Interfaces NAT para direcionamento de tráfego. |
Este exemplo descreve as seguintes configurações:
Pool
dst-nat-pool-1NAT de destino que contém o endereço IP 192.168.1.200/32.Regra NAT de destino definida
rs1comr1regra para combinar pacotes recebidos da interface ge-0/0/0.0 com o endereço IP de destino 203.0.113.200/32. Para pacotes correspondentes, o endereço de destino é convertido para o endereço nodst-nat-pool-1pool.ARP proxy para o endereço 203.0.113.200/32 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações ARP recebidas na interface para esse endereço.
Políticas de Segurança para permitir o tráfego da zona não confiável para o endereço IP de destino convertido na zona de confiança.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar um mapeamento NAT de destino de um endereço público para um endereço privado:
Crie o pool NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Crie um conjunto de regras NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure o ARP do proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure um endereço no catálogo de endereços global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona confiável.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Resultados
No modo de configuração, confirme sua configuração inserindo o show interfacescomando , show security zonese show bridge-domains . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando o uso do pool NAT de destino
- Verificando o uso da regra NAT de destino
- Verificando o NAT de destino para uma única tradução de endereço
- Verificando o aplicativo NAT para o tráfego
Verificando o uso do pool NAT de destino
Finalidade
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, insira o show security nat destination pool all comando. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Significado
O show security nat destination pool all comando exibe o pool de endereços convertidos. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
Verificando o uso da regra NAT de destino
Finalidade
Verifique se há tráfego correspondente à regra NAT de destino.
Ação
Do modo operacional, insira o show security nat destination rule all comando.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Significado
O show security nat destination rule all comando exibe a regra NAT de destino. Exiba o campo Ocorrências de conversão para verificar se há tráfego que corresponda à regra de destino.
Verificando o NAT de destino para uma única tradução de endereço
Finalidade
Verifique a configuração do NAT de destino para uma tradução de endereço único.
Ação
Do modo operacional, insira o show security nat destination summary comando.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Significado
O comando exibe informações sobre a show security nat destination summary configuração do NAT de destino. Você pode verificar as seguintes informações:
Conjuntos de regras
Regras
Intervalo de endereços
Pool de NAT
Detalhes da porta
Verificando o aplicativo NAT para o tráfego
Finalidade
Verifique se o NAT está sendo aplicado ao tráfego especificado.
Ação
Do modo operacional, insira o show security flow session comando.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Significado
O show security flow session comando exibe sessões ativas no dispositivo e a política de segurança associada a cada sessão. A saída mostra o tráfego que entra no dispositivo destinado a um host público em 203.0.113.200 que é convertido em endereço IP de destino privado 192.168.1.200.
Session ID— Número que identifica a sessão. Use esse ID para obter mais informações sobre a sessão, como o nome da política ou o número de pacotes que entram e saem.
server-access— Nome da política que permitiu o tráfego da zona não confiável para o endereço IP de destino convertido na zona de confiança.
In— Fluxo de entrada (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP e a interface de origem para esta sessão é ge-0/0/0.0).
Out— Fluxo reverso (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP e a interface de destino para esta sessão é ge-0/0/1.0).
Exemplo: configurar o NAT de destino para conversão de endereço IP e porta
Este exemplo descreve como configurar mapeamentos NAT de destino de um endereço público para endereços privados, dependendo do número da porta.
Requerimentos
Antes de começar:
Configure as interfaces de rede no dispositivo. Consulte o Guia do Usuário de Interfaces para Dispositivos de Segurança.
Crie zonas de segurança e atribua interfaces a elas. Consulte Noções Básicas Sobre Zonas de Segurança.
Visão geral
Este exemplo usa a zona de segurança confiável para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, os dispositivos na zona não confiável acessam servidores na zona de confiança por meio do endereço público 203.0.113.200 na porta 80 ou 8000. Os pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável são mapeados para os endereços privados dos servidores da seguinte forma:
O endereço IP de destino 203.0.113.200 e a porta 80 são convertidos para o endereço privado 192.168.1.200 e a porta 80.
O endereço IP de destino 203.0.113.200 e a porta 8000 são convertidos para o endereço privado 192.168.1.220 e a porta 8000.
de porta
Este exemplo descreve as seguintes configurações:
Pool
dst-nat-pool-1NAT de destino que contém o endereço IP 192.168.1.200 porta 80.Pool
dst-nat-pool-2NAT de destino que contém o endereço IP 192.168.1.220 e a porta 8000.Conjunto de regras
rs1NAT de destino comr1regra para corresponder pacotes recebidos da zona não confiável com o endereço IP de destino 203.0.113.200 e a porta de destino 80. Para pacotes correspondentes, o endereço de destino é convertido para o endereço nodst-nat-pool-1pool.Conjunto de regras
rs1NAT de destino comr2regra para combinar pacotes recebidos da zona não confiável com o endereço IP de destino 203.0.113.200 e a porta de destino 8000. Para pacotes correspondentes, o endereço IP e a porta de destino são convertidos para o endereço e adst-nat-pool-2porta no pool.ARP proxy para o endereço 203.0.113.200/32. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações ARP recebidas na interface para esse endereço.
Políticas de Segurança para permitir o tráfego da zona não confiável para os endereços IP de destino convertidos na zona de confiança.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar um mapeamento NAT de destino de um endereço público para um endereço privado:
Crie pools NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Crie um conjunto de regras NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configure o ARP do proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure endereços no catálogo de endereços global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para os servidores na zona confiável.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Resultados
No modo de configuração, confirme sua configuração digitando os show security nat comandos e show security policies . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
- Verificando o uso do pool NAT de destino
- Verificando o uso da regra NAT de destino
- Verificando o aplicativo NAT para o tráfego
Verificando o uso do pool NAT de destino
Finalidade
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, insira o show security nat destination pool all comando. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
Verificando o uso da regra NAT de destino
Finalidade
Verifique se há tráfego correspondente à regra NAT de destino.
Ação
Do modo operacional, insira o show security nat destination rule all comando. Exiba o campo Ocorrências de tradução para verificar se há tráfego que corresponda à regra.
Verificando o aplicativo NAT para o tráfego
Finalidade
Verifique se o NAT está sendo aplicado ao tráfego especificado.
Ação
Do modo operacional, insira o show security flow session comando.
Exemplo: configurar o NAT de destino para tradução de sub-rede
Este exemplo descreve como configurar um mapeamento NAT de destino de um endereço de sub-rede pública para um endereço de sub-rede privado.
O mapeamento de endereços de uma sub-rede para outra também pode ser realizado com NAT estático. O mapeamento NAT estático permite que as conexões sejam estabelecidas de ambos os lados do dispositivo de gateway, enquanto o NAT de destino permite que as conexões sejam estabelecidas de apenas um lado. No entanto, o NAT estático só permite traduções entre blocos de endereços do mesmo tamanho.
Requerimentos
Antes de começar:
Configure as interfaces de rede no dispositivo. Consulte o Guia do Usuário de Interfaces para Dispositivos de Segurança.
Crie zonas de segurança e atribua interfaces a elas. Consulte Noções Básicas Sobre Zonas de Segurança.
Visão geral
Este exemplo usa a zona de segurança confiável para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 3, os dispositivos na zona não confiável acessam dispositivos na zona de confiança por meio do endereço de sub-rede público 203.0.113.0/24. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com um endereço IP de destino na sub-rede 203.0.113.0/24, o endereço IP de destino é convertido em um endereço privado na sub-rede 192.168.1.0/24.
de sub-rede NAT de destino
Este exemplo descreve as seguintes configurações:
Pool
dst-nat-pool-1NAT de destino que contém o endereço IP 192.168.1.0/24.Conjunto de regras
rs1NAT de destino comr1regra para combinar pacotes recebidos da interface ge-0/0/0.0 com o endereço IP de destino na sub-rede 203.0.113.0/24. Para pacotes correspondentes, o endereço de destino é convertido para o endereço nodst-nat-pool-1pool.ARP proxy para os endereços 203.0.113.1/32 a 203.0.113.62/32 na interface ge-0/0/0.0; esses são os endereços IP dos hosts que devem ser convertidos da sub-rede 203.0.113.0/24. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações ARP recebidas na interface para esses endereços. O endereço 203.0.113.0/24 é atribuído à própria interface, portanto, esse endereço não está incluído na configuração ARP do proxy. Os endereços que não estão no intervalo de 203.0.113.1/32 a 203.0.113.62/32 não devem estar presentes na rede e não seriam traduzidos.
Políticas de Segurança para permitir o tráfego da zona não confiável para os endereços IP de destino convertidos na zona de confiança.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar um mapeamento NAT de destino de um endereço de sub-rede pública para um endereço de sub-rede privado:
Crie o pool NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Crie um conjunto de regras NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que corresponda a pacotes e converta o endereço de destino em um endereço no pool.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure o ARP do proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configure um endereço no catálogo de endereços global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configure uma política de segurança que permita o tráfego da zona não confiável para os dispositivos na zona confiável.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Resultados
No modo de configuração, confirme sua configuração digitando os show security nat comandos e show security policies . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
- Verificando o uso do pool NAT de destino
- Verificando o uso da regra NAT de destino
- Verificando o aplicativo NAT para o tráfego
Verificando o uso do pool NAT de destino
Finalidade
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, insira o show security nat destination pool all comando. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
Verificando o uso da regra NAT de destino
Finalidade
Verifique se há tráfego correspondente à regra NAT de destino.
Ação
Do modo operacional, insira o show security nat destination rule all comando. Exiba o campo Ocorrências de tradução para verificar se há tráfego que corresponda à regra.
Verificando o aplicativo NAT para o tráfego
Finalidade
Verifique se o NAT está sendo aplicado ao tráfego especificado.
Ação
Do modo operacional, insira o show security flow session comando.
Monitorando informações de NAT de destino
Finalidade
Exiba a tabela de resumo da Network Address Translation (NAT) de destino e os detalhes das informações do pool de endereços de destino NAT especificadas.
Ação
Selecione Monitor>NAT> Destino NAT na interface de usuário J-Web ou insira os seguintes comandos CLI:
show security nat destination summaryshow security nat destination pool pool-name
A Tabela 2 resume os principais campos de saída na exibição do NAT de destino.
Âmbito de aplicação |
Valores |
Ação |
|---|---|---|
| Regras | ||
Nome do conjunto de regras |
Nome do conjunto de regras. |
Selecione todos os conjuntos de regras ou um conjunto de regras específico a ser exibido na lista. |
Regras totais |
Número de regras configuradas. |
– |
Identificação |
Número de identificação da regra. |
– |
Nome |
Nome da regra . |
– |
Nome do conjunto de regras |
Nome do conjunto de regras. |
– |
De |
Nome da instância/zona/interface de roteamento da qual o pacote flui. |
– |
Intervalo de endereços de origem |
Intervalo de endereços IP de origem no pool de origem. |
– |
Intervalo de endereços de destino |
Intervalo de endereços IP de destino no pool de origem. |
– |
Porta de destino |
Porta de destino no pool de destino. |
– |
Protocolo IP |
Protocolo IP. |
– |
Ação |
Ação executada para um pacote que corresponde a uma regra. |
– |
Limite de alarme |
Limite de alarme de utilização. |
– |
Sessões (bem-sucedidas/com falha/atuais) |
Sessões bem-sucedidas, com falha e atuais.
|
– |
Hits de tradução |
Número de vezes que uma conversão na tabela de conversão é usada para uma regra NAT de destino. |
– |
| Piscinas | ||
Nome do pool |
Os nomes dos pools. |
Selecione todos os pools ou um pool específico para exibir na lista. |
Total Pools |
Total de pools adicionados. |
– |
Identificação |
ID do pool. |
– |
Nome |
Nome do pool de destino. |
– |
Intervalo de endereços |
Intervalo de endereços IP no pool de destino. |
– |
Porta |
Número da porta de destino no pool. |
– |
Instância de roteamento |
Nome da instância de roteamento. |
– |
Total de endereços |
Endereço IP total, conjunto de endereços IP ou entrada do catálogo de endereços. |
– |
Hits de tradução |
Número de vezes que uma conversão na tabela de conversão é usada para o NAT de destino. |
– |
| Os 10 melhores sucessos de tradução | ||
Gráfico |
Exibe o gráfico dos 10 principais resultados de tradução. |
– |