瞻博网络 SRX300 上的源 NAT

网络工程 纳特 杜松 瞻博网络 回复
2021-07-17 17:46:37

我在 SRX300 防火墙上设置源 NAT 时遇到问题。防火墙通过端口 0/6 中的光纤电缆连接到 LC 面板。我已经在该接口上设置了公共 ip 并配置了 dns-servers 和默认网关。另外,我有一个 DHCP 服务器在端口 0/3 上运行。SRX 有一个连接,可以 ping 远程主机,将设备连接到端口 0/3 将为其提供池中的 IP 地址。端口 3 上的设备可以 ping SRX,但无法访问公共互联网,我相信我的源 NAT 配置中缺少某些内容。

这是我的 nat 安全(203.0.113.192/30 代表我的公共 IP):

security {
    nat {
        source {
            pool src-nat-pool-1 {
                address {
                    203.0.113.192/30;
                }
            }
            rule-set rs1 {
                from zone trust;
                to zone untrust;
                rule r1 {
                    match {
                        source-address 0.0.0.0/0;
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            pool {
                                src-nat-pool-1;
                            }
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy trust-to-trust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
            policy internet-access {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                ge-0/0/2.0;
                ge-0/0/3.0;
                ge-0/0/4.0;
                ge-0/0/5.0;
                ge-0/0/6.0 {
                    host-inbound-traffic {
                        system-services {
                            ping;
                        }
                    }
                }
            }
        }
        security-zone untrust {
            screen untrust-screen;
        }
    }
}

并且相关接口配置如下:

interfaces {
    ge-0/0/3 {
        unit 0 {
            family inet {
                address 192.168.3.1/24;
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family inet {
                address 203.0.113.192/30;
            }
        }
    }
}

可悲的是,我什至似乎无法获得任何翻译命中率。

1个回答

您好,欢迎来到网络工程!

  1. 在 SNAT 配置中将您更改source-nat pool...source-nat interface

  2. 将接口 ge-0/0/6.0 从 trust 区域删除为 untrust。

[编辑]

delete security nat source rule-set rs1 rule r1 then source-nat
set security nat source rule-set rs1 rule r1 then source-nat interface

delete security zones security-zone trust interfaces ge-0/0/6.0
set security zones security-zone untrust interfaces ge-0/0/6.0
其它你可能感兴趣的问题
上一篇表示 48 位 MAC 地址的各种标准和行业实践方式有哪些? 下一篇端口通道和以太网通道有什么区别?