NAT estático
O NAT estático mapeia o tráfego de rede de um endereço IP externo estático para um endereço IP ou rede interna. Ele cria uma tradução estática de endereços reais para endereços mapeados. O NAT estático oferece conectividade de internet a dispositivos de rede por meio de uma LAN privada com um endereço IP privado não registrado.
Entender o NAT estático
O NAT estático define um mapeamento de um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa. Do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado é o endereço IP do host real.
O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a um para um ou entre blocos de endereços do mesmo tamanho. Para cada endereço privado, um endereço público deve ser alocado. Não são necessários pools de endereços.
O NAT estático também oferece suporte aos seguintes tipos de tradução:
Mapear vários endereços IP e faixas de portas especificadas para um mesmo endereço IP e diferentes faixas de portas
Mapear um endereço IP e uma porta IP específicos para um endereço e porta IP diferentes
A tradução de endereços de porta (PAT) também é suportada por um mapeamento estático entre a porta de destino (alcance) e a porta mapeada (faixa).
O endereço de destino original, juntamente com outros endereços em piscinas NAT de origem e destino, não deve se sobrepor na mesma instância de roteamento.
Na pesquisa de regras do NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas têm precedência sobre as regras de NAT de origem.
Entendendo as regras de NAT estáticas
As regras de tradução de endereços de rede estática (NAT) especificam duas camadas de condições de correspondência:
Direção de tráfego — permite especificar a partir da interface, da zona ou da instância de roteamento.
Informações de pacotes — podem ser endereços e portas de origem, endereços e portas de destino.
Para todo o tráfego ALG, exceto FTP, recomendamos que você não use as opções source-address
de regras de NAT estáticas ou source-port
. A criação de sessão de dados pode falhar se essas opções forem usadas porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não corresponder à regra NAT estática. Para o tráfego FTP ALG, a opção source-address
pode ser usada porque um endereço IP pode ser fornecido para combinar com o endereço de origem de uma regra NAT estática.
Quando os endereços de origem e destino são configurados como condições de correspondência para uma regra, o tráfego é compatível com o endereço de origem e o endereço de destino. Como o NAT estático é bidirecional, o tráfego na direção oposta ao inverso corresponde à regra, e o endereço de destino do tráfego é compatível com o endereço de origem configurado.
Se várias regras de NAT estáticas se sobreporem às condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 e da regra B especifica o tráfego da interface ge-0/0/0, a regra B é usada para executar NAT estático. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma correspondência de instâncias de roteamento.
Como as regras de NAT estáticas não oferecem suporte a endereços e portas sobrepostas, elas não devem ser usadas para mapear um endereço IP externo para vários endereços IP internos para tráfego ALG. Por exemplo, se diferentes sites quiserem acessar dois servidores FTP diferentes, os servidores FTP internos devem ser mapeados para dois endereços IP externos diferentes.
Para a ação de regra de NAT estática, especifique o endereço traduzido e (opcionalmente) a instância de roteamento.
Na pesquisa do NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas tem precedência sobre as regras de NAT de origem.
Visão geral da configuração do NAT estático
As principais tarefas de configuração para NAT estático são as seguintes:
- Configure regras de NAT estáticas que estão alinhadas com seus requisitos de rede e segurança.
- Configure entradas ARP proxy NAT para endereços IP na mesma sub-rede da interface de entrada.
Exemplo: configurar NAT estático para tradução de endereço único
Este exemplo descreve como configurar um mapeamento NAT estático de um único endereço privado em um endereço público.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.
Na Figura 1, dispositivos na zona não confiável acessam um servidor na zona de confiança por meio do endereço público 203.0.113.200/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com o endereço IP de destino 203.0.113.200/32, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32. Para uma nova sessão originária do servidor, o endereço IP de origem no pacote de saída é traduzido para o endereço público 203.0.113.200/32.
Este exemplo descreve as seguintes configurações:
Regra de NAT estática definida
rs1
com regrar1
para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.200/32. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32.ARP proxy para o endereço 203.0.113.200 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego de e para o servidor 192.168.1.200.
Configuração
Procedimento
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Configurar um mapeamento NAT estático de um endereço privado para um endereço público:
Crie um conjunto de regras de NAT estático.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
Configure uma política de segurança que permita que todo o tráfego desde o servidor na zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no e show security policies
comandosshow security nat
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat static { rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; } then { static-nat prefix 192.168.1.200/32; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-1; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego igualando o conjunto de regras de NAT estático.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.
Exemplo: configurar NAT estático para tradução de sub-rede
Este exemplo descreve como configurar um mapeamento NAT estático de um endereço de sub-rede privada em um endereço de sub-rede pública.
Os blocos de endereço para mapeamento de NAT estático devem ter o mesmo tamanho.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, dispositivos na zona de acesso não confiável na zona de confiança por meio do endereço de sub-rede pública 203.0.113.0/24. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com um endereço IP de destino na sub-rede 203.0.113.0/24, o endereço IP de destino é traduzido para um endereço privado na sub-rede 192.168.1.0/24. Para novas sessões originárias da sub-rede 192.168.1.0/24, o endereço IP de origem em pacotes de saída é traduzido para um endereço na sub-rede pública 203.0.113.0/24.
Este exemplo descreve as seguintes configurações:
Regra nat estática definida
rs1
com regrar1
para combinar pacotes recebidos na interface ge-0/0/0.0 com um endereço IP de destino na sub-rede 203.0.113.0/24. Para pacotes correspondentes, o endereço de destino é traduzido para um endereço na sub-rede 192.168.1.0/24.O ARP proxy para o endereço varia de 203.0.113.1/32 a 203.0.113.249/32 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços. O endereço 203.0.113.250/32 é atribuído à própria interface, de modo que este endereço não esteja incluído na configuração do ARP proxy.
Políticas de segurança para permitir o tráfego de e para a sub-rede 192.168.1.0/24.
Configuração
Procedimento
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT estático de um endereço de sub-rede privada para um endereço de sub-rede pública:
Crie um conjunto de regras de NAT estático.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço em uma sub-rede privada.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
Configure uma política de segurança que permita o tráfego da zona não confiável até a sub-rede na zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
Configure uma política de segurança que permita que todo o tráfego da sub-rede na zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no e show security policies
comandosshow security nat
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat static { rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { static-nat prefix 192.168.1.0/24; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-group; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-group; application any; } then { permit; } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego igualando o conjunto de regras de NAT estático.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.
Exemplo: configurar NAT estático para mapeamento de portas
Este exemplo descreve como configurar mapeamentos NAT estáticos de um endereço público para endereços privados em uma faixa especificada de portas.
Este tópico inclui as seguintes seções:
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.
Na Figura 3, dispositivos na zona não confiável acessam um servidor na zona de confiança por meio de endereços públicos 203.0.113.1/32, 203.0.113.1/32 e 203.0.113,3/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com os endereços IP de destino 203.0.113.1/32, 203.0.113.1/32 e 203.0.113.3/32, o endereço IP de destino é traduzido para os endereços privados 10.1.1.1/32,10,1,1,1,2/32 e 10,1,1,2/32.
Para configurar a porta de destino, você deve usar um endereço IP para o campo de endereço de destino em vez de um prefixo de endereço IP.
Você deve configurar a porta de destino para configurar a porta mapeada e vice-versa.
Use a mesma faixa numérica para as portas enquanto configura a porta de destino e a porta mapeada.
Se você não configurar a porta de destino e a porta mapeada, o mapeamento IP será o mapeamento de um para um.
Nenhum endereço sobreposto ou qualquer sobreposição de endereço e porta não é permitido.
Este exemplo descreve as seguintes configurações:
A regra do NAT estático define rs1 com a regra r1 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 100 a 200. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.1/32 e mapeado para a porta de 300 a 400.
A regra do NAT estático define rs1 com a regra r2 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 300 a 400. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta de 300 a 400.
A regra do NAT estático define rs1 com a regra r3 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.3/32 e a porta de destino 300. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta 200.
Configuração
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set rs from zone untrust
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32
set security nat static rule-set rs rule r3 match destination-port 300
set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT estático de um endereço de sub-rede privada para um endereço de sub-rede pública:
Crie um conjunto de regras de NAT estático.
[edit security nat static]
user@host# set rule-set rs from zone untrust
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r1 match destination-port 100 to 200
user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r2 match destination-port 300 to 400
user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.
[edit security nat static]
user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32
user@host# set rule-set rs rule r3 match destination-port 300
user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
security { nat { static { rule-set rs { from zone untrust; rule r1 { match { destination-address 203.0.113.1/32; destination-port 100 to 200; } then { static-nat { prefix { 10.1.1.1/32; mapped-port 300 to 400; } } } } rule r2 { match { destination-address 203.0.113.1/32; destination-port 300 to 400; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 300 to 400; } } } } rule r3 { match { destination-address 203.0.113.3/32; destination-port 300; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 200; } } } } } } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração do NAT estático
Propósito
Verifique se há tráfego igualando o conjunto de regras de NAT estático.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Solucionando problemas
Resolução de problemas Configuração de porta NAT estática
Problema
Falhas de configuração de mapeamento de portas NAT estáticas ocorrem durante um commit.
Configurações inválidas com endereços IP sobrepostos e portas resultam em falha de confirmação.
O exemplo a seguir mostra configurações inválidas com endereços e portas sobrepostos:
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.2
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
A mensagem de erro a seguir foi exibida quando a configuração acima mencionada foi enviada para confirmação:
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
Solução
Para configurar a porta de destino, você deve evitar qualquer sobreposição de endereço ou qualquer endereço e porta sobreposto. Para um exemplo de configuração válida, consulte Configuração
Monitoramento de informações de NAT estáticas
Propósito
Veja as informações de regras de NAT estáticas.
Ação
Selecione Monitor>NAT>Static NAT na interface do usuário J-Web ou insira o seguinte comando CLI:
show security nat static rule
A Tabela 1 resume os principais campos de saída no display NAT estático.
Campo |
Valores |
Ação |
---|---|---|
Nome definido por regras |
Nome do conjunto de regras. |
Selecione todos os conjuntos de regras ou um conjunto de regras específico para ser exibido na lista. |
Regras totais |
Número de regras configuradas. |
– |
ID |
Número de identificação da regra. |
– |
Posição |
Posição da regra que indica a ordem em que ela se aplica ao tráfego. |
– |
Nome |
Nome da regra. |
– |
Nome do ruleset |
Nome do conjunto de regras. |
– |
De |
Nome da instância de roteamento/interface/zona da qual o pacote vem |
– |
Endereços de origem |
Endereços IP de origem. |
– |
Portas de origem |
Números da porta de origem. |
– |
Endereços de destino |
Endereço IP de destino e máscara de sub-rede. |
– |
Portas de destino |
Números da porta de destino. |
– |
Endereços de host |
Nome dos endereços do host. |
– |
Portas de hospedagem |
Números da porta de hospedagem. |
|
Netmask |
Endereço IP de sub-rede. |
– |
Instância de roteamento de host |
Nome da instância de roteamento da qual o pacote vem. |
– |
Limiar de alarme |
Limite de alarme de utilização. |
– |
Sessões (Succ/falha/corrente) |
Sessões bem-sucedidas, fracassadas e atuais.
|
– |
Acertos de tradução |
Várias vezes uma tradução na tabela de tradução é usada para uma regra NAT estática. |
– |
Gráfico dos 10 melhores sucessos de tradução |
Exibe o gráfico dos 10 principais sucessos de tradução. |
– |