Cómo excluir el tráfico procedente de nat en una srx Junos
Después de haber configurado los servicios NAT SRX utilizando la interfaz de salida o el método de la piscina, se puede crear una regla para excluir cierta tráfico desde el proceso de NAT. Esta configuración se puede hacer para permitir que ciertos servidores (como una red pública o FTP) que tienen direcciones IP públicas en el espacio de otro modo privado dirección de LAN, pero la elección es realmente hasta el administrador de la red.
Naturalmente, se necesita una nueva regla. Éste se aplica a 192.168.2.2 y se llama NO_translate:
[editar seguridad fuente nat conjunto de reglas internet-nat] root # regla fija NO_translate
Ahora, usted necesita una regla de juego y la acción para la nueva regla para que pueda convertir NAT fuera de 192.168.2.2, como se muestra aquí:
[editar fuente nat seguridad regla NO_translate-internet nat conjunto de reglas] fuente-dirección de partido root # conjunto 192.168.2.2/32root# establece entonces la fuente-nat fuera
Puede ser que parezca que haya terminado, pero no eres.
Si usted comete esta configuración, el SRX sigue traduciendo 192.168.2.2, a pesar de que la norma está bien y el SRX no debe traducirlo.
Esto es lo que sucedió: El orden de las reglas es establecida por el orden en que están configurados en el CLI. los NO_translate se añadió la regla después de que ha configurado el básico los administradores de acceso regla, por lo que el NO_translate regla fue simplemente añade después de la existente los administradores de acceso gobernar. Desafortunadamente, debido los administradores de acceso partidos todo el espacio de direcciones de LAN (192.168.2.0/24), No hay tráfico se deja para el NO-translate gobernar para que coincida!
Este es un tema de política común con Junos y es bastante fácil de solucionar. Una declaración pone la regla en el orden correcto:
[editar fuente nat seguridad conjunto de reglas internet-nat] NO_translate regla root # inserción antes de la regla administradores de acceso
Siempre asegúrese de que sus reglas configuradas están en el orden correcto para lograr los resultados que desea. A medida que el número de reglas crece, la posibilidad de error crece aún más rápido.