SRX100なれはじめ その5(sourceNATの設定)
インターネットにアクセスする際、プライベートIPのままアクセスすることはあまりないと思います。
今回は、アドレスを変換するNAT(SourceNAT)の設定をしたいと思います。
NATの設定
JunOSではNATの設定をセキュリティポリシーやインタフェースの設定から独立して取り扱います。
実装されているNATは下記の3種類になります。
- SourceNAT・・・送信元IP/ポート番号の変換(screenOSにおけるInterfaceNAT, インターネットアクセスの際などに使われる)
- DestinatonNAT・・・送信先IP/ポート番号の変換(ScreenOSにおけるVIP/DIP, 1個のグローバルIPで複数のサーバーを公開する場合などに使用)
- StaticNAT・・・IPアドレス同士を1対1で変換する(ScreenOSにおけるMIP, 1個のグローバルIPで1台のサーバーを公開するなどで使用)
NAT設定がポリシーベースではなくなったため戸惑います。今回はSourceNATを設定したいと思います
SourceNATの構成
* 前回のconfigに追記して設定します
sourceNATの設定
設定の流れ
- ルールセットの作成
- ルールセット内にルール(適用条件/アクション)を設定
ルールセットを作成して送信元、宛先zoneを設定します
[edit] # ルールセット"trust-to-untrust"の作成 root# set security nat source rule-set trust-to-untrust # ルールセット"trust-to-untrust"は送信元がtrust、送信先がuntrustゾーンの場合適用する root# set security nat source rule-set from zone trust root# set security nat source rule-set from to untrust
- ルールの設定
[edit] #ルールセット内にRule1を作成 root# set security nat source rule-set rule Rule1 #送信元アドレス192.168.1.0/24をsourceNATの対象にする root# set security nat source rule-set rule Rule1 match source-address 192.168.1.0/24 # 条件に一致して、アドレス変換する際はルーターの送信側インタフェースにIPアドレスを変換する root# set security nat source rule-set rule Rule1 then source-nat interface
確認方法
下記のコマンドにて、NATのアドレス変換がされていることが判ります。
root> show security flow session Session ID: 151, Policy name: trust-to-untrust/4, Timeout: 1198 In: 192.168.1.2/49206 --> 108.160.172.236/443;tcp, If: vlan.0 Out: 108.160.172.236/443 --> 192.168.0.101/64189;tcp, If: fe-0/0/0.0 Session ID: 188, Policy name: trust-to-untrust/4, Timeout: 1268 In: 192.168.1.2/49221 --> 54.192.110.117/443;tcp, If: vlan.0 Out: 54.192.110.117/443 --> 192.168.0.101/57083;tcp, If: fe-0/0/0.0 Session ID: 189, Policy name: trust-to-untrust/4, Timeout: 1268 In: 192.168.1.2/49222 --> 54.192.110.117/443;tcp, If: vlan.0 Out: 54.192.110.117/443 --> 192.168.0.101/30567;tcp, If: fe-0/0/0.0 Session ID: 193, Policy name: trust-to-untrust/4, Timeout: 1206 In: 192.168.1.2/49224 --> 108.160.172.193/443;tcp, If: vlan.0 Out: 108.160.172.193/443 --> 192.168.0.101/14173;tcp, If: fe-0/0/0.0 Session ID: 199, Policy name: trust-to-untrust/4, Timeout: 1768 In: 192.168.1.2/49232 --> 108.160.163.100/443;tcp, If: vlan.0 Out: 108.160.163.100/443 --> 192.168.0.101/10113;tcp, If: fe-0/0/0.0
次の記事はSRXを離れてJenkinsのことでも書こうと思っています。
(意訳: PPPoEの設定がうまくできない・・・・orz)
参考
Juniper Networks NAT http://www.juniper.net/assets/jp/jp/local/pdf/others/nat.pdf