NAT hairpining dla ScreenOS ?

JunOS / Juniper / Netscreen
Wiadomość
Autor
stefanx
wannabe
wannabe
Posty: 314
Rejestracja: 24 mar 2005, 16:08
Lokalizacja: Zurych

NAT hairpining dla ScreenOS ?

#1

#1 Post autor: stefanx »

Hej,

Czy ktos moze konfigurowal NAT hairpining dla SSG na ScreeenOS ? Dla SRX jest przyklad ale dla SSG juz nie znalazlem
https://kb.juniper.net/InfoCenter/index ... id=KB24639

Chcialbym osiagnac dokladnie to samo co w KB dla SRX.

Klient wychodzi z zony DMZ-2 (192.168.15.0/24) i chce polaczyc sie do zony DMZ (serwery w sieci 192.168.3.0/24) ale poprzez Publiczny /Untrust IP (dajmy na to 1.1.1.1/32 ktory jest IP interfejsu).

Z gory dzieki za informacje.
J.
Expect unexpected...

bszw
newbie
newbie
Posty: 1
Rejestracja: 05 sie 2016, 21:57

Re: NAT hairpining dla ScreenOS ?

#2

#2 Post autor: bszw »

Cześć,

nie wiem czy jeszcze aktualne ale ja bym spróbował tak:
1. Ustawić MIP dla publicznego IP na interfejsie z zony DMZ-2 który kierowałbym na docelowy (prywatny) adres serwera w zonie DMZ.
2. Polityka z zony DMZ-2 do DMZ z MIP() jak dst i do tego ustawić komendę "nat src" (NAT-Src from the
Egress Interface IP Address).

Pomijam tu kwestie poprawnych ustawień routingu bo to zależy od danego środowiska.
W Palo Alto nazywają to U-Turn NAT.

pozdr,
Bartek

ODPOWIEDZ