Como excluir tráfego de NAT em um Junos SRX

Depois de configurar serviços SRX NAT usando a interface de saída ou o método de piscina, você pode criar uma regra para excluir determinado tráfego a partir do processo NAT. Esta configuração pode ser feito para permitir que certos servidores (como um web pública ou site FTP) para ter endereços IP públicos em outro espaço privado endereço LAN, mas a escolha é realmente até o administrador da rede.

Naturalmente, você precisa de uma nova regra. Isto aplica-se a um 192.168.2.2 e é chamada NO_translate:

[Segurança source nat conjunto de regras à Internet de nat editar] root # regra definida NO_translate

Agora, você precisa de uma regra de correspondência e de acção para a nova regra que você pode transformar NAT off para 192.168.2.2, como mostrado aqui:

[Editar fonte de nat de segurança de conjunto de regras à Internet de nat regra NO_translate] root # conjunto de correspondência fonte endereço 192.168.2.2/32root# definido, então source-nat off

Pode parecer que você está feito, mas você não é.

Se você cometer Nesta configuração, o SRX continua a traduzir 192.168.2.2, mesmo que a regra está bem e o SRX não deve traduzi-lo.

Eis o que aconteceu: A ordem das regras é estabelecida pela ordem em que eles estão configurados na CLI. o NO_translate regra foi adicionado depois de configurado o básico administradores de acesso regra, de modo que o NO_translate regra foi simplesmente adicionado após o existente administradores de acesso regra. Infelizmente, porque administradores de acesso corresponde todo o espaço de endereço LAN (192.168.2.0/24), O trânsito não é deixado para o NO-traduzir regra para combinar!

Esta é uma questão política comum com Junos e é bastante fácil de corrigir. Uma declaração coloca a regra na ordem correta:

[Editar fonte de nat de segurança Internet de nat de conjunto de regras] NO_translate regra root # inserção antes de regras administradores de acesso

Sempre certifique-se suas regras configuradas estão na ordem correta para alcançar os resultados desejados. À medida que o número de regras cresce, a possibilidade de erro aumenta até mesmo mais rápido.

menu