비디오: Juniper Firewall Config, SRX firewall lab config,SRX firewall network configuration,EVE-NG firewall 2024
이더넷 인터페이스를 사용하여 SRX NAT 서비스를 구성한 후 또는 풀 방법을 사용하면 특정 트래픽을 NAT 프로세스에서 제외하는 규칙을 만들 수 있습니다. 이 구성은 특정 서버 (예: 공용 웹 또는 FTP 사이트)가 공용 IP 주소를 사설 LAN 주소 공간에 갖도록 허용 할 수 있지만 실제로 네트워크 관리자가 선택합니다.
당연히 새로운 규칙이 필요합니다. 이것은 1922. 168. 2. 2에 적용되며 NO_translate:
[보안 NAT 소스 규칙 세트 편집 인터넷 규칙 규칙 NO_translate] 루트 # set match source-address 192. 168. 2. 2/32 root # set then source- nat off끝난 것처럼 보일지 모르지만, 그렇지 않습니다.
이 구성을 커밋하면 SRX는 규칙이 양호하고 SRX가 변환하지 않아도 192.268.2.2로 계속 변환합니다.
다음과 같은 일이 있습니다. 규칙의 순서는 CLI에서 구성된 순서에 따라 결정됩니다. NO_translate 규칙은 기본 관리자 액세스 규칙을 구성한 후에 추가되었으므로 NO_translate 규칙은 기존 관리자 액세스 규칙 뒤에 간단히 추가되었습니다. 불행히도 관리자 액세스가 전체 LAN 주소 공간 (1922. 168. 2. 0/24)과 일치하므로 NO- 변환 규칙이 일치하도록 트래픽이 남지 않습니다!
이것은 Junos의 일반적인 정책 문제이며 해결하기 쉽습니다. 하나의 명령문은 올바른 순서로 규칙을 넣습니다.
[edit security nat source rule-set internet-nat] root # insert rule NO_translate before rule admins-access항상
구성된 규칙이 적절한 순서로 원하는 결과를 얻을 수 있습니다. 규칙 수가 늘어 나면 오류의 가능성도 더욱 빠르게 증가합니다.
