Hej,
Czy ktos moze konfigurowal NAT hairpining dla SSG na ScreeenOS ? Dla SRX jest przyklad ale dla SSG juz nie znalazlem
https://kb.juniper.net/InfoCenter/index ... id=KB24639
Chcialbym osiagnac dokladnie to samo co w KB dla SRX.
Klient wychodzi z zony DMZ-2 (192.168.15.0/24) i chce polaczyc sie do zony DMZ (serwery w sieci 192.168.3.0/24) ale poprzez Publiczny /Untrust IP (dajmy na to 1.1.1.1/32 ktory jest IP interfejsu).
Z gory dzieki za informacje.
J.
NAT hairpining dla ScreenOS ?
NAT hairpining dla ScreenOS ?
Expect unexpected...
Re: NAT hairpining dla ScreenOS ?
Cześć,
nie wiem czy jeszcze aktualne ale ja bym spróbował tak:
1. Ustawić MIP dla publicznego IP na interfejsie z zony DMZ-2 który kierowałbym na docelowy (prywatny) adres serwera w zonie DMZ.
2. Polityka z zony DMZ-2 do DMZ z MIP() jak dst i do tego ustawić komendę "nat src" (NAT-Src from the
Egress Interface IP Address).
Pomijam tu kwestie poprawnych ustawień routingu bo to zależy od danego środowiska.
W Palo Alto nazywają to U-Turn NAT.
pozdr,
Bartek
nie wiem czy jeszcze aktualne ale ja bym spróbował tak:
1. Ustawić MIP dla publicznego IP na interfejsie z zony DMZ-2 który kierowałbym na docelowy (prywatny) adres serwera w zonie DMZ.
2. Polityka z zony DMZ-2 do DMZ z MIP() jak dst i do tego ustawić komendę "nat src" (NAT-Src from the
Egress Interface IP Address).
Pomijam tu kwestie poprawnych ustawień routingu bo to zależy od danego środowiska.
W Palo Alto nazywają to U-Turn NAT.
pozdr,
Bartek