とあるインフラエンジニアの日常

インフラ、ネットワークに囲まれた日常をつらつらと書いていきます。時々旨い酒

SRX100なれはじめ その5(sourceNATの設定)

SRX100 network JunOS

インターネットにアクセスする際、プライベートIPのままアクセスすることはあまりないと思います。
今回は、アドレスを変換するNAT(SourceNAT)の設定をしたいと思います。

NATの設定

JunOSではNATの設定をセキュリティポリシーやインタフェースの設定から独立して取り扱います。
実装されているNATは下記の3種類になります。

  • SourceNAT・・・送信元IP/ポート番号の変換(screenOSにおけるInterfaceNAT, インターネットアクセスの際などに使われる)
  • DestinatonNAT・・・送信先IP/ポート番号の変換(ScreenOSにおけるVIP/DIP, 1個のグローバルIP複数のサーバーを公開する場合などに使用)
  • StaticNAT・・・IPアドレス同士を1対1で変換する(ScreenOSにおけるMIP, 1個のグローバルIPで1台のサーバーを公開するなどで使用)

NAT設定がポリシーベースではなくなったため戸惑います。今回はSourceNATを設定したいと思います

SourceNATの構成

f:id:kurokiyokiyo:20150927195920p:plain
* 前回のconfigに追記して設定します

sourceNATの設定

  • 設定の流れ

    • ルールセットの作成
    • ルールセット内にルール(適用条件/アクション)を設定

  • ルールセットを作成して送信元、宛先zoneを設定します

[edit]
# ルールセット"trust-to-untrust"の作成
root# set security nat source rule-set trust-to-untrust
# ルールセット"trust-to-untrust"は送信元がtrust、送信先がuntrustゾーンの場合適用する
root# set security nat source rule-set from zone trust
root# set security nat source rule-set from to untrust
  • ルールの設定
[edit]
#ルールセット内にRule1を作成
root# set security nat source rule-set rule Rule1
#送信元アドレス192.168.1.0/24をsourceNATの対象にする
root# set security nat source rule-set rule Rule1 match source-address 192.168.1.0/24
# 条件に一致して、アドレス変換する際はルーターの送信側インタフェースにIPアドレスを変換する
root# set security nat source rule-set rule Rule1 then source-nat interface

確認方法

下記のコマンドにて、NATのアドレス変換がされていることが判ります。

root> show security flow session 
Session ID: 151, Policy name: trust-to-untrust/4, Timeout: 1198
  In: 192.168.1.2/49206 --> 108.160.172.236/443;tcp, If: vlan.0
  Out: 108.160.172.236/443 --> 192.168.0.101/64189;tcp, If: fe-0/0/0.0

Session ID: 188, Policy name: trust-to-untrust/4, Timeout: 1268
  In: 192.168.1.2/49221 --> 54.192.110.117/443;tcp, If: vlan.0
  Out: 54.192.110.117/443 --> 192.168.0.101/57083;tcp, If: fe-0/0/0.0

Session ID: 189, Policy name: trust-to-untrust/4, Timeout: 1268
  In: 192.168.1.2/49222 --> 54.192.110.117/443;tcp, If: vlan.0
  Out: 54.192.110.117/443 --> 192.168.0.101/30567;tcp, If: fe-0/0/0.0

Session ID: 193, Policy name: trust-to-untrust/4, Timeout: 1206
  In: 192.168.1.2/49224 --> 108.160.172.193/443;tcp, If: vlan.0
  Out: 108.160.172.193/443 --> 192.168.0.101/14173;tcp, If: fe-0/0/0.0

Session ID: 199, Policy name: trust-to-untrust/4, Timeout: 1768
  In: 192.168.1.2/49232 --> 108.160.163.100/443;tcp, If: vlan.0
  Out: 108.160.163.100/443 --> 192.168.0.101/10113;tcp, If: fe-0/0/0.0

次の記事はSRXを離れてJenkinsのことでも書こうと思っています。
(意訳: PPPoEの設定がうまくできない・・・・orz)

参考

Juniper Networks NAT http://www.juniper.net/assets/jp/jp/local/pdf/others/nat.pdf