TDR de destino
La NAT de destino cambia la dirección de destino de los paquetes que pasan por el enrutador. También ofrece la opción de realizar la traducción de puertos en los encabezados TCP/UDP. NAT de destino se utiliza principalmente para redirigir paquetes entrantes con una dirección externa o destino de puerto a una dirección IP interna o puerto dentro de la red.
Descripción de la NAT de destino
La NAT de destino es la traducción de la dirección IP de destino de un paquete que ingresa al dispositivo de Juniper Networks. La TDR de destino se utiliza para redirigir el tráfico destinado a un host virtual (identificado por la dirección IP de destino original) al host real (identificado por la dirección IP de destino traducida).
Cuando se realiza la TDR de destino, la dirección IP de destino se traduce de acuerdo con las reglas NAT de destino configuradas y, a continuación, se aplican las políticas de seguridad.
La TDR de destino permite que las conexiones se inicien solo para las conexiones de red entrantes, por ejemplo, desde Internet a una red privada. La TDR de destino se utiliza normalmente para realizar las siguientes acciones:
Traduzca una sola dirección IP a otra dirección (por ejemplo, para permitir que un dispositivo en Internet se conecte a un host en una red privada).
Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño (por ejemplo, para permitir el acceso a un grupo de servidores).
Traduzca una dirección IP y un puerto de destino a otra dirección IP y puerto de destino (por ejemplo, para permitir el acceso a varios servicios con la misma dirección IP pero puertos diferentes).
Se admiten los siguientes tipos de TDR de destino:
Traducción de la dirección IP de destino original a una dirección IP de un grupo definido por el usuario. Este tipo de traducción no incluye la traducción de direcciones de puerto (PAT). Si el intervalo de direcciones IP de destino original es mayor que el intervalo de direcciones del grupo de direcciones definido por el usuario, se descartarán los paquetes no traducidos.
Traducción de la dirección IP de destino original (y el número de puerto opcional) a una dirección IP específica (y número de puerto) desde un grupo definido por el usuario.
Descripción de los grupos de direcciones NAT de destino
Un grupo NAT es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de NAT estática, donde hay una asignación uno a uno que incluye la traducción de direcciones IP de destino en una dirección y la traducción de direcciones IP de origen en la dirección inversa, con NAT de destino, se traduce la dirección de destino original a una dirección IP en el grupo de direcciones.
Para los grupos de direcciones NAT de destino, especifique lo siguiente:
Nombre del grupo de direcciones NAT de destino
Dirección de destino o intervalo de direcciones
No superponga direcciones NAT para NAT de origen, NAT de destino y NAT estática dentro de una instancia de enrutamiento.
Puerto de destino que se usa para el reenvío de puertos
Instancia de enrutamiento a la que pertenece el grupo: un grupo NAT de destino que no especifique una instancia de enrutamiento específica usará de forma predeterminada la instancia de enrutamiento de la zona de entrada.
Puede configurar un grupo NAT para que exista en la instancia de enrutamiento predeterminada. La opción de configuración para especificar que existe un grupo NAT en la instancia de enrutamiento predeterminada está disponible. Como resultado, se puede acceder al grupo de NAT desde zonas de la instancia de enrutamiento predeterminada y desde zonas de otras instancias de enrutamiento.
Descripción de las reglas NAT de destino
Las reglas NAT de destino especifican dos capas de condiciones de coincidencia:
Dirección del tráfico: permite especificar
from interface,from zone, ofrom routing-instance.Información de paquetes: pueden ser direcciones IP de origen, dirección IP o subred de destino, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.
Para el tráfico ALG, le recomendamos que no use la destination-port opción o la application opción como condiciones coincidentes. Si se utilizan estas opciones, es posible que se produzca un error en la traducción porque es posible que el valor de puerto de la carga de la aplicación no coincida con el valor de puerto de la dirección IP.
Si varias reglas NAT de destino se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico de la interfaz ge-0/0/0, la regla B se utiliza para realizar el NAT de destino. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.
Las acciones que puede especificar para una regla NAT de destino son:
desactivado: no realiza NAT de destino.
pool: utilice el grupo de direcciones definido por el usuario especificado para realizar el NAT de destino.
Las reglas NAT de destino se aplican al tráfico en el primer paquete que se procesa para el flujo o en la ruta rápida para la ALG. Las reglas NAT de destino se procesan después de reglas NAT estáticas pero antes de las reglas NAT de origen.
Descripción general de la configuración de NAT de destino
Las principales tareas de configuración para la TDR de destino son las siguientes:
- Configure un grupo de direcciones NAT de destino que se alinee con sus requisitos de red y seguridad.
- Configure reglas NAT de destino que se alineen con sus requisitos de red y seguridad.
- Configure entradas ARP de proxy NAT para direcciones IP en la misma subred de la interfaz de entrada.
Ejemplo: configuración de TDR de destino para la traducción de direcciones únicas
En este ejemplo se describe cómo configurar una asignación NAT de destino de una sola dirección pública a una dirección privada.
La asignación de una dirección IP de destino a otra también se puede lograr con NAT estática. La asignación estática de NAT permite establecer conexiones desde cualquier lado del dispositivo de puerta de enlace, mientras que la NAT de destino solo permite establecer conexiones desde un lado. Sin embargo, la NAT estática solo permite traducciones de una dirección a otra o entre bloques de direcciones del mismo tamaño.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Firewalls serie SRX
-
Servidor
Antes de empezar:
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
-
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
La TDR de destino se utiliza normalmente para distribuir un servicio ubicado en una red privada con una dirección IP de acceso público. Esto permite a los usuarios utilizar el servicio privado con la dirección IP pública. Las configuraciones del grupo de direcciones NAT de destino y de las reglas NAT de destino se utilizan para alinear la red y mejorar los requisitos de seguridad.
En este ejemplo, primero se configura la zona de seguridad de confianza para el espacio de direcciones privadas y, a continuación, se configura la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 1, los dispositivos de la zona que no es de confianza acceden a un servidor de la zona de confianza mediante la dirección pública 203.0.113.200/32. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.
Topología
de direcciones únicas NAT de destino
En la tabla 1 se muestran los parámetros configurados en este ejemplo.
| Parámetro |
Descripción |
|---|---|
| Zona de confianza |
Zona de seguridad para el espacio de direcciones privadas. |
| Zona de no confianza |
Zona de seguridad para el espacio de megafonía. |
| 192.168.1.200/32 |
Dirección IP NAT de destino traducida. |
| 192.168.1.0/24 |
Subred privada en zona privada. |
| 203.0.113.200/32 |
Dirección pública del servidor. |
| Servidor |
Dirección del servidor del espacio de direcciones privadas. |
| ge-0/0/0 y ge-1/0/0 |
Interfaces NAT para la dirección del tráfico. |
En este ejemplo se describen las siguientes configuraciones:
-
Conjunto
dst-nat-pool-1de NAT de destino que contiene la dirección IP 192.168.1.200/32. -
Regla NAT de destino establecida
rs1con reglar1para hacer coincidir los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino 203.0.113.200/32. Para paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo. -
ARP de proxy para la dirección 203.0.113.200/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
-
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a la dirección IP de destino traducida en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32
set security nat destination rule-set rs1 from interface ge-0/0/0.0
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
set security address-book global address server-1 192.168.1.200/32
set security policies from-zone untrust to-zone trust policy server-access match source-address any
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1
set security policies from-zone untrust to-zone trust policy server-access match application any
set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar una asignación NAT de destino desde una dirección pública a una dirección privada:
-
Cree el grupo NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32 -
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 -
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32 -
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza al servidor de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, escriba el comando , show security zonesy show bridge-domains confirme la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación del uso del grupo NAT de destino
- Comprobación del uso de la regla NAT de destino
- Comprobación de TDR de destino para una traducción de dirección única
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del grupo NAT de destino
Propósito
Compruebe que hay tráfico utilizando direcciones IP del grupo NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Significado
El show security nat destination pool all comando muestra el conjunto de direcciones traducidas. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Significado
El show security nat destination rule all comando muestra la regla NAT de destino. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla de destino.
Comprobación de TDR de destino para una traducción de dirección única
Propósito
Compruebe la configuración de la NAT de destino para una sola traducción de direcciones.
Acción
Desde el modo operativo, ingrese el show security nat destination summary comando.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Significado
El show security nat destination summary comando muestra información sobre la configuración de NAT de destino. Puede verificar la siguiente información:
-
Conjuntos de reglas
-
Reglas
-
Intervalo de direcciones
-
Conjunto NAT
-
Detalles del puerto
Verificación de la aplicación NAT al tráfico
Propósito
Compruebe que NAT se está aplicando al tráfico especificado.
Acción
Desde el modo operativo, ingrese el show security flow session comando.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Significado
El show security flow session comando muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión. La salida muestra el tráfico que ingresa al dispositivo destinado a un host público en 203.0.113.200 que se traduce a la dirección IP de destino privado 192.168.1.200.
-
Session ID: número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la directiva o el número de paquetes de entrada y salida.
-
server-access: nombre de la política que permitió el tráfico desde la zona que no es de confianza a la dirección IP de destino traducida en la zona de confianza.
-
In: flujo entrante (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0).
-
Out: flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino para esta sesión es ge-0/0/1.0).
Ejemplo: configuración de NAT de destino para la traducción de direcciones IP y puertos
En este ejemplo se describe cómo configurar asignaciones NAT de destino de una dirección pública a direcciones privadas, en función del número de puerto.
Requisitos
Antes de empezar:
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
-
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, los dispositivos de la zona que no es de confianza acceden a los servidores de la zona de confianza mediante la dirección pública 203.0.113.200 en el puerto 80 u 8000. Los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza se asignan a las direcciones privadas de los servidores de la siguiente manera:
-
La dirección IP de destino 203.0.113.200 y el puerto 80 se traducen a la dirección privada 192.168.1.200 y al puerto 80.
-
La dirección IP de destino 203.0.113.200 y el puerto 8000 se traducen a la dirección privada 192.168.1.220 y al puerto 8000.
En este ejemplo se describen las siguientes configuraciones:
-
Grupo de NAT
dst-nat-pool-1de destino que contiene la dirección IP 192.168.1.200 puerto 80. -
Grupo de NAT
dst-nat-pool-2de destino que contiene la dirección IP 192.168.1.220 y el puerto 8000. -
Conjunto de reglas
rs1NAT de destino con una reglar1para hacer coincidir los paquetes recibidos desde la zona que no es de confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 80. Para paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo. -
Conjunto de reglas
rs1NAT de destino con reglar2para hacer coincidir los paquetes recibidos desde la zona que no es de confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 8000. Para paquetes coincidentes, la dirección IP y el puerto de destino se traducen a la dirección y eldst-nat-pool-2puerto del grupo. -
ARP de proxy para la dirección 203.0.113.200/32. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
-
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32
set security nat destination pool dst-nat-pool-1 address port 80
set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32
set security nat destination pool dst-nat-pool-2 address port 8000
set security nat destination rule-set rs1 from zone untrust
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r1 match destination-port 80
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32
set security nat destination rule-set rs1 rule r2 match destination-port 8000
set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
set security address-book global address server-2 192.168.1.220/32
set security address-book global address server-1 192.168.1.200/32
set security policies from-zone untrust to-zone trust policy server-access match source-address any
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1
set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2
set security policies from-zone untrust to-zone trust policy server-access match application any
set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de destino desde una dirección pública a una dirección privada:
-
Crear grupos NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000 -
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 -
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 -
Configure direcciones en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32 -
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza a los servidores de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del grupo NAT de destino
- Comprobación del uso de la regla NAT de destino
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del grupo NAT de destino
Propósito
Compruebe que hay tráfico utilizando direcciones IP del grupo NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Ejemplo: configuración de NAT de destino para la traducción de subredes
En este ejemplo se describe cómo configurar una asignación NAT de destino de una dirección de subred pública a una dirección de subred privada.
La asignación de direcciones de una subred a otra también se puede lograr con NAT estática. La asignación estática de NAT permite establecer conexiones desde cualquier lado del dispositivo de puerta de enlace, mientras que la NAT de destino permite que las conexiones se establezcan desde un solo lado. Sin embargo, la NAT estática solo permite traducciones entre bloques de direcciones del mismo tamaño.
Requisitos
Antes de empezar:
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
-
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 3, los dispositivos de la zona que no es de confianza acceden a los dispositivos de la zona de confianza mediante la dirección de subred pública 203.0.113.0/24. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona que no es de confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se convierte a una dirección privada en la subred 192.168.1.0/24.
de subred NAT de destino
En este ejemplo se describen las siguientes configuraciones:
-
Grupo NAT
dst-nat-pool-1de destino que contiene la dirección IP 192.168.1.0/24. -
Conjunto de reglas
rs1NAT de destino con reglar1para hacer coincidir los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino en la subred 203.0.113.0/24. Para paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo. -
ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.62/32 en la interfaz ge-0/0/0.0; estas son las direcciones IP de los hosts que deben traducirse de la subred 203.0.113.0/24. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.0/24 se asigna a la propia interfaz, por lo que esta dirección no se incluye en la configuración ARP del proxy. No se espera que las direcciones que no estén en el intervalo de 203.0.113.1/32 a 203.0.113.62/32 estén presentes en la red y no se traduzcan.
-
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24
set security nat destination rule-set rs1 from interface ge-0/0/0.0
set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
set security address-book global address internal-net 192.168.1.0/24
set security policies from-zone untrust to-zone trust policy internal-access match source-address any
set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net
set security policies from-zone untrust to-zone trust policy internal-access match application any
set security policies from-zone untrust to-zone trust policy internal-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de destino desde una dirección de subred pública a una dirección de subred privada:
-
Cree el grupo NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24 -
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a una dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 -
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 -
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24 -
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza a los dispositivos de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del grupo NAT de destino
- Comprobación del uso de la regla NAT de destino
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del grupo NAT de destino
Propósito
Compruebe que hay tráfico utilizando direcciones IP del grupo NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Supervisión de la información de NAT de destino
Propósito
Vea la tabla resumen de traducción de direcciones de red (NAT) de destino y los detalles de la información del grupo de direcciones de destino NAT especificada.
Acción
Seleccione Monitor>NAT> NAT de destino en la interfaz de usuario de J-Web o escriba los siguientes comandos de CLI:
show security nat destination summaryshow security nat destination pool pool-name
En la tabla 2 se resumen los campos de salida clave en la pantalla NAT de destino.
Campo |
Valores |
Acción |
|---|---|---|
| Reglas | ||
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Total de reglas |
Número de reglas configuradas. |
– |
IDENTIFICACIÓN |
Número de identificación de la regla. |
– |
Nombre |
Nombre de la regla . |
– |
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
– |
De |
Nombre de la instancia/zona/interfaz de enrutamiento desde la que fluye el paquete. |
– |
Intervalo de direcciones de origen |
Intervalo de direcciones IP de origen en el grupo de origen. |
– |
Intervalo de direcciones de destino |
Intervalo de direcciones IP de destino en el grupo de origen. |
– |
Puerto de destino |
Puerto de destino en el grupo de destinos. |
– |
Protocolo IP |
Protocolo IP. |
– |
Acción |
Acción realizada para un paquete que coincide con una regla. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Sesiones (Succ/Fallido/Actual) |
Sesiones correctas, fallidas y actuales.
|
– |
Aciertos de traducción |
Número de veces que se usa una traducción de la tabla de traducción para una regla NAT de destino. |
– |
| Piscinas | ||
Nombre del grupo |
Los nombres de las piscinas. |
Seleccione todos los grupos o un grupo específico para mostrar en la lista. |
Total de piscinas |
Total de grupos agregados. |
– |
IDENTIFICACIÓN |
ID de la piscina. |
– |
Nombre |
Nombre del grupo de destino. |
– |
Intervalo de direcciones |
Intervalo de direcciones IP en el grupo de destinos. |
– |
Puerto |
Número de puerto de destino en el grupo. |
– |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento. |
– |
Total de direcciones |
Dirección IP total, conjunto de direcciones IP o entrada en la libreta de direcciones. |
– |
Aciertos de traducción |
Número de veces que se utiliza una traducción de la tabla de traducción para el NAT de destino. |
– |
| Top 10 éxitos de traducción | ||
Gráfico |
Muestra el gráfico de los 10 principales resultados de traducción. |
– |