Hur man utesluter trafik från NAT på en Junos SRX-dummies

När du har konfigurerat SRX NAT-tjänster med antingen utgångsgränssnittet eller poolmetoden kan du skapa en regel för att utesluta viss trafik från NAT-processen. Denna konfiguration kan göras för att tillåta vissa servrar (som en offentlig webbsida eller FTP-webbplats) att ha offentliga IP-adresser på annat privat LAN-adressutrymme, men valet är verkligen upp till nätverksadministratören.

Naturligtvis behöver du en ny regel. Detta gäller för 192. 168. 2. 2 och heter NO_translate:

Nu måste du ha en matchningsregel och åtgärd för den nya regeln så att du kan stänga av NAT för 192 168. 2. 2, som visas här:

[redigera security natkälla regel-set internet-nat regel NO_translate] root # set matchningskälla-adress 192. 168. 2. 2/32 root # set sedan käll- natt utanför

Det kan se ut som om du är klar, men du är inte.

Om du begår denna konfiguration fortsätter SRX att översätta 192. 168. 2. 2, trots att regeln är bra och SRX ska inte översätta den.

Här är vad som hände: Regelns ordning fastställs av den ordning de är konfigurerad i CLI. Regeln NO_translate läggs till efter att du har konfigurerat den grundläggande administratören-åtkomstregeln så att NO_translate-regeln helt enkelt lagts till efter den befintliga admins-åtkomstregeln. Tyvärr, eftersom administratörsbehörighet matchar hela LAN-adressutrymmet (192. 168. 2. 0/24) är ingen trafik kvar för att NO-translate-regeln ska matcha!

Detta är ett gemensamt politiskt problem med Junos och är lätt att fixa. Ett uttalande sätter regeln i rätt ordning:

[redigera security nat source rule-set internet-nat] root # insert rule NO_translate innan regel admins-access

Alltid

se till att dina konfigurerade regler finns i rätt ordning för att uppnå de resultat du vill ha. När antalet regler växer ökar risken för fel ännu snabbare.