차례:
- 송신 인터페이스 주소를 사용하여 소스 NAT 구성
- LAN의 모든 주소를 포함합니다. 이 경우 신뢰할 수있는 영역 외부로 트래픽을 보낼 때 LAN의 장치에서 사용할 수있는 주소 풀을 설정하는 것이 좋습니다.
비디오: Wade Davis: The worldwide web of belief and ritual 2024
NAT는 여러 가지 방법으로 주소를 변환 할 수 있습니다. 트래픽에 적용 할 규칙을 구성하여 특정 경우에 어떤 종류의 NAT를 사용해야하는지 확인할 수 있습니다. 다음 NAT 서비스를 수행하도록 SRX를 구성 할 수 있습니다.
-
송신 인터페이스의 IP 주소를 사용하십시오.
-
번역을 위해 주소 풀을 사용하십시오.
일반적으로 처음 두 서비스는 동일한 SRX에 포함시키지 않습니다. 두 가지 서비스가 완전히 다른 서비스이기 때문입니다. 그래서 당신이 하나를한다면, 당신은 동시에 다른 것을 할 수 없습니다. 그러나 한 인터페이스에서 출구 변환을 사용하고 다른 인터페이스에서 풀을 사용하는 이유를 찾을 수 있습니다.
송신 인터페이스 주소를 사용하여 소스 NAT 구성
먼저 고유 이름을 가진 internet-nat이라는 규칙 집합을 만들고 NAT를 적용하려는 트래픽의 컨텍스트를 설정해야합니다. 이 경우,이 규칙은 관리자 LAN 영역에서 신뢰할 수없는 영역으로의 트래픽 (untrust)에 적용됩니다. 인터페이스 또는 가상 라우터를 지정할 수도 있지만 영역에 따라 SRX의 모든 것을 생각하는 것이 가장 좋습니다.
root # 편집 보안 nat 소스 룰 세트 internet-nat [편집 보안 nat 소스 룰 세트 인터넷 -nat] 루트 # 존 관리자에서 설정 root # 존 트러스트로 설정
자, 모든 위치로가는 모든 LAN 트래픽과 일치하는 실제 규칙 (admins-access)을 구성하고 NAT에 패킷을 적용합니다.
[edit nat source rule-set internet-nat] root # edit rule admins-access [보안 설정 nat 소스 규칙 세트 인터넷 룰 규칙 admins-access] 루트 # 세트 일치 소스 주소 192 168. 2. 0/24 루트 # 설정 일치 대상 주소 all root # set then source-nat interface
마지막 행은 출구 소스로 NAT 소스 변환을 설정합니다. 다음은 그 모습입니다:
많은 경우에 인터페이스에 할당 된 주소 공간이 충분하지 않습니다 (예: 대상 주소 0 0. 0. 0/0;} {source-nat interface;}}}LAN의 모든 주소를 포함합니다. 이 경우 신뢰할 수있는 영역 외부로 트래픽을 보낼 때 LAN의 장치에서 사용할 수있는 주소 풀을 설정하는 것이 좋습니다.
IP 주소 풀을 사용하도록 앞의 예를 재구성하려면 먼저 public_NAT_range 풀을 구성해야합니다. 여기에 6 개의 주소로 구성된 작은 풀을 사용합니다.
[edit security nat source] root # set pool public_NAT_range address 66. 129. 250. 10 ~ 66.129. 250. 15
이 명령문 구조를 사용하면 룰 세트 전체가 아닌 한 곳에서 풀을 변경할 수 있습니다. NAT 계층 구조의 해당 수준에서 풀을 적용합니다.
[edit security nat source] root # 편집 규칙 세트 internet-nat rule admins-access [편집 보안 nat 소스 규칙 세트 internet-nat rule admins-access] root # set then source-nat pool public_NAT_range
하나의 명령문 만이 실제로 변경되지만, 모든 차이가 있습니다:
[edit nat] 소스 {rule-set internet-nat {zone {admins; {zone untrust;} 규칙 관리자 액세스 {match {source-address 1922. 168. 2. 0/24; 목적지 주소 0 0. 0. 0/0;} {source-nat pool public_NAT_range;}}}
