iT邦幫忙

0

Juniper SSG-140 從外部IP NAT到 內部IP網段

大家好,
Juniper SSG-140 從外部IP NAT到 內部IP網段(192.168.1.50~192.168.1.150)
Port 來源隨機不一定。
請問要怎麼設定呢?

基本上,你內部 有大約 36 個 IP
要出去的 PORT 不一定 ??
請問一下,假如IP 36 & 38 同時用 PORT 555 出去
防火牆是要 轉進來是要給 36 還是 38 呢
如果你不是要出去是要進來
同樣的,上面的問題你能回答嗎

防火牆,可以做多對多 MAP,但內外的數量要一致,然後開 any port
這是做 NAT 的基本認知,NAT 就是 內外 1對1
但我是沒聽過,現在還能租到 36個 IP 啦 ( 等於要租 64 個 )

換個想法,你如果是要讓內部 隨機 PORT 跟 外面的 構通
那你要做的是 規則設定,這些 來自 0.0.0.0 any port TCP/UDP 雙向 192.168.1.15~50
這樣的原則設定吧,外面進來的到這些 IP PORT 全開
我再拿 我做 WOW 網際喚醒 的經驗給你參考
我內部 20 台 WOL 是用 7 & 9 兩個 PORT
所以總共要 40 個 PORT
我外面只有一個 IP,所以我要做的是 把 20 台的 7&9 依序作 port map
例如用 5001~5040 跟內部的 20台 作 port map
這樣我外面發到這些 port 時,防火牆才知道要把封包送到哪一台
例如 內部 1號機 對應到 5001-5002 外部拋封包到 5001-5002 防火牆就會知道要轉到 1號機
然後 1號機就會被喚醒,NAT 是一樣的道理,你必須告訴防火牆 外部IP 要對應到 內部哪個IP
如果你數量多,那就是內外數量要一致,不能不一致,這是基本觀念

1 個回答

0
raytracy
iT邦大神 1 級 ‧ 2016-02-03 22:29:17

開一個 MIP 型態的 IP Mapping, Firewall Policy 設成 Any port 就好了.

sclin2k iT邦新手 4 級 ‧ 2016-02-04 07:14:31 檢舉

MIP 一對一mapping這個我知道
但如果不用MIP方式,要如何設定?
在每一條policy裡面的進階設定都有dnat的功能,但就是設定不起來!

raytracy iT邦大神 1 級 ‧ 2016-02-04 09:34:21 檢舉

sclin2k提到:
Port 來源隨機不一定。

不用 MIP 的話, 要怎麼去對應這些隨機亂跳的 Source Port?

我要發表回答

立即登入回答