Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Crear una regla de directiva NAT

El procesamiento de NAT se centra en la evaluación de conjuntos de reglas y reglas NAT. Un conjunto de reglas determina la dirección general del tráfico que se va a procesar. Después de que un conjunto de reglas coincide con el tráfico, cada regla del conjunto de reglas se evalúa para una coincidencia. Las reglas NAT pueden coincidir en la siguiente información del paquete:

  • Dirección de origen y destino

  • Puerto de origen (solo para NAT estática y de origen)

  • Puerto de destino

Se usa la primera regla del conjunto de reglas que coincida con el tráfico. Si un paquete coincide con una regla de un conjunto de reglas durante el establecimiento de la sesión, el tráfico se procesa de acuerdo con la acción especificada por esa regla.

Para crear una regla NAT, haga clic en el nombre de la directiva NAT. Aparecerá la página Reglas de directiva NAT, que le proporciona opciones para configurar reglas NAT. Como alternativa, puede hacer clic en el número de regla que aparece en Reglas contra la política, para crear una regla. Puede configurar los siguientes tipos de reglas NAT:

  • Estático: para agregar una regla NAT estática, haga clic en Crear en la esquina superior derecha y seleccione Estático.

  • Origen: para añadir una regla NAT de origen, haga clic en Crear en la esquina superior derecha y seleccione Origen.

  • Destino: para añadir una regla NAT de destino, haga clic en Crear en la esquina superior derecha y seleccione Destino.

Dependiendo del tipo de regla que haya elegido, algunos campos de la regla no serán aplicables. Además de definir reglas entre zonas e interfaces, puede definir reglas NAT con enrutadores virtuales definidos en el dispositivo.

Para crear una regla de política NAT:

  1. Seleccione Directivas SRX > NAT > NAT.

    Aparece la página Políticas de NAT que muestra las políticas NAT existentes.

  2. Haga clic en el nombre de la directiva NAT para la que desea crear reglas. Como alternativa, puede hacer clic en el vínculo Agregar regla contra una política NAT.

    Aparecerá la página Reglas de directiva NAT.

  3. Haga clic en Crear y seleccione Origen, Estático o Destino. La página muestra campos para crear una regla NAT.
  4. Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1.
  5. Haga clic en Aceptar para guardar los cambios.

    Se crea una regla NAT con la configuración proporcionada.

    En la Tabla 1 se proporcionan directrices sobre el uso de los campos de la página Políticas de NAT .

    Tabla 1: Campos en la página de políticas NAT para crear reglas NAT

    Campo

    Descripción

    Nombre de la regla

    Introduzca una cadena única que comience con un número o letra y que conste de letras, números, guiones y guiones bajos. La longitud máxima es de 31 caracteres.

    Descripción

    Escriba una descripción para la regla de directiva que debe ser una cadena que excluya '&', '<', '>' y '\n'. La longitud máxima es de 900 caracteres.

    Fuentes

    Haga clic en el icono de agregar (+) para seleccionar los puntos finales de origen en los que se aplica la regla de política NAT, en la lista que se muestra de Tipo de entrada de origen, Zonas de origen, Direcciones de origen, Intervalo de puertos/puertos de Soure.

    Tipo de entrada de origen

    1. Seleccione un tipo de entrada: Zona, Interfaz o Instancia de enrutamiento.

    2. En el selector adecuado, seleccione las zonas, interfaces o instancia de enrutamiento a las que desea asociar la regla en la columna Disponible .

      Nota:

      Para la opción Instancia de enrutamiento , puede seleccionar uno o más de los enrutadores virtuales disponibles en el dispositivo. Para la directiva NAT de grupo, verá una lista consolidada de todos los enrutadores virtuales en todos los dispositivos a los que está asignada la directiva.

    3. Haga clic en Aceptar.

    Direcciones de origen

    Introduzca uno o más nombres de direcciones o nombres de conjunto de direcciones.

    • Any: permite agregar cualquier dirección a la regla NAT.
    • Específico: seleccione la casilla situada junto a cada dirección que desee incluir en el grupo de direcciones. Haga clic en el icono mayor que (>) para mover la dirección o direcciones seleccionadas de la columna Disponible a la columna Seleccionada . Tenga en cuenta que puede utilizar los campos en la parte superior de cada columna para buscar direcciones. .

    Puertos de origen/rango de puertos

    Introduzca un máximo de ocho puertos e intervalos de puertos separados por comas.

    Destinos

    Haga clic en el icono Agregar (+) para seleccionar los puntos finales de destino en los que se aplica la regla de política NAT, en la lista mostrada de Tipo de entrada de destino, Zonas de destino, Direcciones de destino, Puertos de destino o intervalo de puertos.

    Nota:

    Cuando se crea una regla NAT de destino para el tráfico que llega a una interfaz que termina en un vínculo VPN, el proceso de traducción puede interrumpir el vínculo VPN. Esto sucederá si la dirección de destino en una regla NAT de destino se especifica solo como la dirección IP orientada a la WAN de esa interfaz. Por ejemplo, en la siguiente regla NAT, cualquier tráfico destinado a la IP de WAN se traducirá al grupo de destinos y romperá la funcionalidad de los paquetes de vínculo VPN que terminan en esta interfaz.

    [Any.Address] --> [Wan.IP] :: [Dest-Pool-1]

    Por lo tanto, la recomendación en tales casos es utilizar una regla NAT de destino con el campo de destino como [Address + Port]. Por ejemplo:

    [Any.Address] --> [Wan.IP + Port] :: [Dest-Pool-1]

    Direcciones de destino

    Introduzca uno o más nombres de direcciones o nombres de conjunto de direcciones.

    • Any: permite agregar cualquier dirección a la regla NAT.
    • Específico: seleccione la casilla situada junto a cada dirección que desee incluir en el grupo de direcciones. Haga clic en el icono mayor que (>) para mover la dirección o direcciones seleccionadas de la columna Disponible a la columna Seleccionada . Tenga en cuenta que puede utilizar los campos en la parte superior de cada columna para buscar direcciones. .

    Puertos de destino/rango de puertos

    Introduzca un máximo de ocho puertos e intervalos de puertos separados por comas.

    Servicio/Protocolos

    Elija una de las siguientes opciones para una regla NAT:

    • Ninguno: seleccione esta opción si no desea establecer ningún servicio o protocolo en NAT de origen o destino.

    • Servicios: seleccione uno o más servicios de la lista Disponibles para permitir o denegar el tráfico.

    • Protocolos: seleccione los protocolos de la lista Disponibles para permitir o denegar el tráfico.

    Traducción

    Especifique el tipo de traducción para el tráfico entrante. Las opciones de traducción varían en función de si está creando una regla NAT de origen, estática o de destino.

    Elija uno de los siguientes tipos de traducción para una regla NAT de origen:

    • Ninguno: no se requiere traducción para el tráfico entrante.

    • Interfaz: realiza traducciones basadas en la interfaz en el paquete de origen o en el paquete de destino.

      Nota:

      Esta opción no se admite para pares de alta disponibilidad de múltiples nodos (MNHA). Si está creando una regla de política NAT para un par MNHA, no se muestra la opción Interfaz .

    • Grupo: realiza traducciones basadas en grupos en el paquete de origen o en el de destino. Haga clic en el icono de agregar (+) en el campo Seleccionar grupo para elegir el grupo de traducción.

      También puede crear un nuevo grupo haciendo clic en Agregar nuevo grupo. Consulte Crear un grupo de NAT.

    Elija uno de los siguientes tipos de traducción para una regla NAT estática:

    • Dirección: realiza traducciones basadas en direcciones en el paquete de origen o de destino. Haga clic en el icono de agregar (+) en el campo Seleccionar dirección para elegir la dirección de traducción.

    • IPv4 correspondiente: utiliza la dirección IPv4 correspondiente para realizar traducciones en el paquete de origen o de destino.

    Elija uno de los siguientes tipos de traducción para una regla NAT de destino:

    • Ninguno: no se requiere traducción para el tráfico entrante.

    • Grupo: realiza traducciones basadas en grupos en el paquete de origen o en el de destino. Haga clic en el icono de agregar (+) en el campo Seleccionar grupo para elegir el grupo de traducción.

      También puede crear un nuevo grupo haciendo clic en Agregar nuevo grupo. Consulte Crear un grupo de NAT.

    En la tabla 2 se proporcionan directrices sobre el uso de los campos de la página Configuración avanzada para una regla NAT de origen.

    Tabla 2: Campos en la página Configuración avanzada para la regla NAT de origen

    Campo

    Descripción

    Persistente

    Haga clic en el botón de alternancia para asegurarse de que todas las solicitudes de la misma dirección de transporte interno se asignan a la misma dirección de transporte reflexivo.

    Nota:

    Para que la persistencia sea aplicable a la directiva NAT, asegúrese de que la sobrecarga de puertos esté desactivada para el dispositivo al que se aplica la directiva NAT. Use el siguiente comando para desactivar la sobrecarga de puertos para un dispositivo:

    [Edit mode]
set security nat source interface port-overloading off

    Tipo de NAT persistente

    Configure asignaciones NAT persistentes.

    • Permitir cualquier host remoto: cualquier host externo puede enviar un paquete al host interno enviando el paquete a la dirección de transporte reflexiva.

    • Permitir host de destino: un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexiva. El host interno debe haber enviado previamente un paquete a la dirección IP del host externo.

    • Permitir puerto de host de destino: un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexiva. El host interno debe haber enviado previamente un paquete a la dirección IP y al puerto del host externo.

    Tiempo de espera de inactividad

    Cantidad de tiempo, en segundos, que el enlace NAT persistente permanece en la memoria del sitio cuando han finalizado todas las sesiones de la entrada de enlace. Cuando se produce el tiempo de espera configurado, el enlace se quita de la memoria. El valor del tiempo de espera de inactividad puede oscilar entre 60 y 7200 segundos. El valor predeterminado del tiempo de espera de inactividad es de 60 segundos.

    Número máximo de sesión

    Número máximo de sesión: el número máximo de sesiones con las que se puede asociar un enlace NAT persistente. Por ejemplo, si el número máximo de sesión de la regla NAT persistente es 65.536, no se puede establecer una sesión 65.537 si esa sesión utiliza el enlace NAT persistente creado a partir de la regla NAT persistente.

    El rango es de 8 a 65,536. El valor predeterminado es 30 sesiones.

    Asignación de direcciones

    Haga clic en el botón de alternancia para habilitar o deshabilitar la asignación de direcciones.

    En la tabla 3 se proporcionan directrices sobre el uso de los campos de la página Configuración avanzada para una regla NAT estática.

    Tabla 3: Campos en la página Configuración avanzada para la regla NAT estática

    Campo

    Descripción

    Tipo de puerto asignado

    Especifique el tipo de asignación de puertos:

    • Puerto: introduzca un valor para Puerto, comprendido entre 0 y 65.535.

    • Rango: introduzca los valores del intervalo de puertos en los campos Inicio y Fin , que van del 0 al 65.535.

    Instancia de enrutamiento

    Seleccione la instancia de enrutamiento para la regla NAT estática.