Slik ekskluderer du Trafikk fra NAT på en Junos SRX

Når du har konfigurert SRX NAT-tjenester ved hjelp av enten grensesnittet eller bassengmetoden, kan du opprette en regel for å utelukke bestemt trafikk fra NAT-prosessen. Denne konfigurasjonen kan gjøres for å tillate enkelte servere (for eksempel et offentlig web- eller FTP-nettsted) å ha offentlige IP-adresser på ellers privat LAN-adresserom, men valget er virkelig opp til nettverksadministratoren.

Naturligvis trenger du en ny regel. Dette gjelder 192. 168. 2. 2 og kalles NO_translate:

Nå må du ha en kampregel og en handling for den nye regelen slik at du kan slå NAT av for 192. 168. 2. 2, som vist her:

[rediger sikkerhetsnatkildsregel-sett internett-nattsregel NO_translate] root # sett match kildeadresse 192. 168. 2. 2/32 root # sett deretter kilde- natt utenfor

Det kan se ut som om du er ferdig, men du er ikke.

Hvis du forplikte denne konfigurasjonen, fortsetter SRX å oversette 192. 168. 2. 2, selv om regelen er bra, og SRX skal ikke oversette den.

Her er det som skjedde: Ordrenes rekkefølge er etablert av den rekkefølgen de er konfigurert i CLI. NO_translate-regelen ble lagt til etter at du hadde konfigurert den grunnleggende admins-tilgangsregelen, slik at NO_translate-regelen bare ble lagt til etter den eksisterende admins-tilgangsregelen. Dessverre, fordi admins-tilgang samsvarer med hele LAN-adresseplassen (192. 168. 2. 0/24), er ingen trafikk igjen for NO-translate-regelen for å matche!

Dette er et fellespolitisk problem med Junos og er enkelt nok til å fikse. Én erklæring setter regelen i riktig rekkefølge:

[rediger sikkerhetsnatkildsregel-sett internett-nat] root # insert rule NO_translate før regeladministrator-tilgang

Alltid

kontroller at de konfigurerte reglene er i riktig rekkefølge for å oppnå resultatene du vil ha. Etter hvert som antall regler vokser, øker muligheten for feil enda raskere.