iT邦幫忙

0

Juniper SSG-140 從外部IP NAT到 內部IP網段

防火牆 firewall
sclin2k 2016-02-03 20:19:475171 瀏覽

大家好,
Juniper SSG-140 從外部IP NAT到 內部IP網段(192.168.1.50~192.168.1.150)
Port 來源隨機不一定。
請問要怎麼設定呢?

窮嘶發發發 iT邦高手 1 級 ‧ 2016-02-04 08:55:28 檢舉
基本上,你內部 有大約 36 個 IP
要出去的 PORT 不一定 ??
請問一下,假如IP 36 & 38 同時用 PORT 555 出去
防火牆是要 轉進來是要給 36 還是 38 呢
如果你不是要出去是要進來
同樣的,上面的問題你能回答嗎

防火牆,可以做多對多 MAP,但內外的數量要一致,然後開 any port
這是做 NAT 的基本認知,NAT 就是 內外 1對1
但我是沒聽過,現在還能租到 36個 IP 啦 ( 等於要租 64 個 )

換個想法,你如果是要讓內部 隨機 PORT 跟 外面的 構通
那你要做的是 規則設定,這些 來自 0.0.0.0 any port TCP/UDP 雙向 192.168.1.15~50
這樣的原則設定吧,外面進來的到這些 IP PORT 全開
窮嘶發發發 iT邦高手 1 級 ‧ 2016-02-04 09:02:57 檢舉
我再拿 我做 WOW 網際喚醒 的經驗給你參考
我內部 20 台 WOL 是用 7 & 9 兩個 PORT
所以總共要 40 個 PORT
我外面只有一個 IP,所以我要做的是 把 20 台的 7&9 依序作 port map
例如用 5001~5040 跟內部的 20台 作 port map
這樣我外面發到這些 port 時,防火牆才知道要把封包送到哪一台
例如 內部 1號機 對應到 5001-5002 外部拋封包到 5001-5002 防火牆就會知道要轉到 1號機
然後 1號機就會被喚醒,NAT 是一樣的道理,你必須告訴防火牆 外部IP 要對應到 內部哪個IP
如果你數量多,那就是內外數量要一致,不能不一致,這是基本觀念
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
Ray
iT邦大神 1 級 ‧ 2016-02-03 22:29:17

開一個 MIP 型態的 IP Mapping, Firewall Policy 設成 Any port 就好了.

sclin2k iT邦新手 4 級 ‧ 2016-02-04 07:14:31 檢舉

MIP 一對一mapping這個我知道
但如果不用MIP方式,要如何設定?
在每一條policy裡面的進階設定都有dnat的功能,但就是設定不起來!

Ray iT邦大神 1 級 ‧ 2016-02-04 09:34:21 檢舉

sclin2k提到:
Port 來源隨機不一定。

不用 MIP 的話, 要怎麼去對應這些隨機亂跳的 Source Port?

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙