przekierwanie portów

JunOS / Juniper / Netscreen
Wiadomość
Autor
Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

przekierwanie portów

#1

#1 Post autor: Rafael »

Witam

Od kilku dni walczę z tematem przekierowania portu ssh z sieci publicznej do serwera w sieci wew. i zachodzę w głowę gdzie robie błąd że to nie działa

nat

Kod: Zaznacz cały

show destination 
pool linux_serv_pool {
    address 172.16.12.220/32 port 22;
}
rule-set PUBLIC_to_DMZ {
    from zone PUBLIC;
        rule dnat_to_linux {
        match {
            destination-address 46.xx.xx.2/32;
            destination-port 5022;
        }
        then {
            destination-nat pool linux_serv_pool;
        }
    }
}
czy powyższa konfiguracja nat jest własciwa?

łącząc sie na adres publiczny 46.xx.xx.2:5022 zostaje przekierowany na adres wew. 172.16.12.220:22

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#2

#2 Post autor: michaliwanczuk »

A reguly fw jak masz zrobione.
Oraz co widzisz w logach?
Michał

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#3

#3 Post autor: Rafael »

poniżej wklejam wszystkie reguły, rozumiem że kolejność reguł tu tez jest istotna?

host jest w strefie CORP

ja dodałem regułę o nazwie permit_linux_ssh

a jak mogę sprawdzic logi? dopiero uczę się junipera
Ostatnio zmieniony 10 maja 2014, 10:12 przez Rafael, łącznie zmieniany 1 raz.

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#4

#4 Post autor: michaliwanczuk »

TAK - kolejność jest istotna
albo będziesz logował ruch z wykorzystaniem Traceoptions
lub włącz logowanie po stronie polityki

pomocny link
http://kb.juniper.net/InfoCenter/index? ... id=KB16108
Michał

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#5

#5 Post autor: Rafael »

a jak jest ze strefami ? czy tak jak w Cisco Asa że dana strefa ma priorytety bezpieczeństwa?

Czy to co zrobiłem jest ok? czyli nat oraz polica dostępowa ze strefy PUBLIC do CORP.

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#6

#6 Post autor: michaliwanczuk »

nie każda strefa ma taki sam priorytet.

na to wychodzi że jest ok tylko pytanie:
co się kryje pod nazwą mail1_servers
jeżeli publiczny adres to jeszcze dodaj po adresie prywatnym
Michał

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#7

#7 Post autor: Rafael »

To kurcze w czym moze byc problem bo nie dziala te przekierowanie

House
wannabe
wannabe
Posty: 317
Rejestracja: 25 lut 2009, 15:13

#8

#8 Post autor: House »

To nie są przekierowania. Tą konfigurację, którą tu wkleiłeś to jest zezwolenie na ruch między zonami. Przekierowania portów robisz w gałęzi NAT:

Kod: Zaznacz cały

show security nat destination
pool
<pola_adresowan_na_ktora_ma_byc_przenatowane_i_przekierowania_polaczenie>
address <adres_na_ktory_ma_zaostac_przekirowane_polaczenie> port_na_jaki_ ma_zostac_ przekierowane>

  rule <nazwa_rule> {
            match {
                destination-address adres_na_ktory_przychodzi_polaczenie;
                destination-port na_port;
                protocol tcp;
            }
            then {
                destination-nat pool <pola_adresowan_na_ktora_ma_byc_przenatowane_i_przekierowania_polaczenie>;
Pokrótce robi sie to tak.

Możesz sprawdzić czy przekierowanie działa za pomocą:

Kod: Zaznacz cały

show security flow sessions destination-prefix/source-prefix

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#9

#9 Post autor: Rafael »

w pierwszy poście wkleiłem przekierowanie

Kod: Zaznacz cały

show destination
pool linux_serv_pool {
    address 172.16.12.220/32 port 22;
}
rule-set PUBLIC_to_DMZ {
    from zone PUBLIC;
        rule dnat_to_linux {
        match {
            destination-address 46.xx.xx.2/32;
            destination-port 5022;
        }
        then {
            destination-nat pool linux_serv_pool;
        }
    }
} 

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#10

#10 Post autor: Rafael »

kurcze podpowie mi ktoś co jest grane że nie ma tego przekierowania mimo że jest ustawione, kurcze nie mam pojecia dlaczego.

moze podac całą konfigurację nat?

Rafael
wannabe
wannabe
Posty: 87
Rejestracja: 21 lis 2013, 21:47

#11

#11 Post autor: Rafael »

ok. zamykam temat, problem tkwił w police permit_all która była inactive,przerobiłemją i jest ok

ODPOWIEDZ