我有一个运行 JunOS 12.1 的 SRX100 防火墙。我有一个 WAN 接口代理 ARPing 十个左右的静态可路由 IP。我在一个简单的 C 类子网上有一个 LAN 接口(我们称之为 192.168.0.x)。我正在使用目标 NAT 和适当的策略开放来允许从 WAN 到 LAN 的选择性服务(例如 POP、IMAP、HTTP(S) 等)。一切都按预期运行。
目前,我正在伪造本地 DNS 以指向通过 NAT 公开的主机的内部地址。但是,我希望我的内部客户端通过外部 IP 访问这些服务(并且只访问这些服务),这样我就可以省去本地 DNS。我还被告知要尽快为某些面向前的服务实施 DMZ,这必然意味着要创建这样的规则。有人能指出一个简单的教程,说明如何使用 Web 界面 GUI 来实现这一点吗?
简单增强现有的目标 NAT 规则和策略是否足够?
答案1
你看过漂亮的Juniper 知识库文章标题是“如何设置 Hairpin NAT”?
来自其页面的配置示例(显然没有使用您的 IP 地址空间):
set security nat source rule-set hairpin from zone default
set security nat source rule-set hairpin to zone default
set security nat source rule-set hairpin rule hairpin-source match source-address 10.0.0.0/24
set security nat source rule-set hairpin rule hairpin-source then source-nat interface
set security nat destination pool server address 10.0.0.5/32
set security nat destination rule-set hairpin from zone default
set security nat destination rule-set hairpin rule hairpin-destination match destination-address 155.100.1.1/32
set security nat destination rule-set hairpin rule hairpin-destination then destination-nat pool server