Video: The Plumber 2024
SRX NAT servislerini çıkış arabirimini veya havuz yönteminde NAT işleminden belirli trafiği hariç tutmak için bir kural oluşturabilirsiniz. Bu yapılandırma, belirli sunucuların (genel web veya FTP sitesi gibi) başka türlü özel LAN adres alanlarında ortak IP adreslerine sahip olmasına izin vermek için yapılabilir, ancak seçim aslında ağ yöneticisine aittir.
Doğal olarak, yeni bir kurala ihtiyacınız var. Bu 192. 168. 2. 2 için geçerlidir ve buna NO_translate:
[güvenlik amaçlı kaynak kuralı düzenleme-internet kuralı kuralı NO_translate] kök # set maç kaynağı-adresi 192. 168. 2. 2.32 root # set then source- nat offTamamlanmışmış gibi görünebilir, ama değilsin.
Bu yapılandırmayı yaparsanız, SRX, kural gayet iyi olmasına ve SRX'in çevirmesine izin vermese de, 192. 168. 2. 2'yi çevirmeye devam eder.
İşte ne oldu: Kuralların sırası, CLI'de yapılandırıldıkları sırayla belirlenir. NO_translate kuralı, temel yöneticilere erişim kuralını yapılandırdıktan sonra eklendi, bu nedenle NO_translate kuralı mevcut yöneticilere erişim kuralı sonrasında eklendi. Maalesef, yöneticilere erişim tüm LAN adres alanıyla eşleştiğinden (192. 168. 2. 0/24), NO çevirme kuralı eşleşmesi için herhangi bir trafik kalmadı!
Bu, Junos ile ortak bir politika sorunudur ve düzeltilecek kadar kolaydır. Bir bildiri, kuralın doğru sıraya yerleştirilmesini sağlar:
[güvenlik gerekçeli kaynak kuralı-internet-nat ayarla] kök # ekleme kuralı NO_translate before rule admins-accessHer zaman
yapılandırılmış kurallarınızın İstediğiniz sonuçları elde etmek için doğru düzeni seçin. Kuralların sayısı arttıkça hata olasılığı daha da artar.
