Atribuir vários ips externos com o Juniper SRX100

2

Eu tenho uma única configuração do Juniper SRX100 entre vários servidores e uma WAN.

É possível dar a todos os servidores endereços IP externos e ainda usar o SRX100 como um firewall?

(Meu provedor já me forneceu endereços adicionais, não sei como configurar o switch)

    
por Element 27.01.2011 / 03:29

3 respostas

4

Eu não concordo com a resposta acima.

Os dispositivos SRX, como os dispositivos NetScreen, lidam com as zonas. Você precisará colocar uma porta na zona "untrust", e o restante na zona "trust". O SRX deve ser configurado para este fora da caixa. A porta na zona de desconfiança provavelmente está configurada para o DHCP agora, você precisará sobrescrever isso e fazer algo assim:

set interfaces ge-0/0/0 unit 0 description ISP Link
set interfaces ge-0/0/0 unit 0 family inet address 99.10.15.173/29

Agora ... para que os OUTROS endereços IP estejam disponíveis na mesma interface, você precisa de uma instrução arp de proxy na configuração NAT.

set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.170/32
set security nat proxy-arp interface ge-0/0/0.0 address 99.10.15.171/32

Em seguida, você precisa de NATs estáticos mapeando esses endereços IP para hosts internos:

set security nat static rule-set emailservers from zone untrust
set security nat static rule-set emailservers rule exchange-direct match destination-address 99.10.15.170/32
set security nat static rule-set emailservers rule exchange-direct then static-nat prefix 192.168.1.70/32
set security nat static rule-set emailservers rule proofpoint match destination-address 99.10.15.171/32
set security nat static rule-set emailservers rule proofpoint then static-nat prefix 192.168.1.74/32

E então, você DEVE ter uma política que PERMITE o tráfego!

set security policies from-zone untrust to-zone trust policy mailservers match source-address any
set security policies from-zone untrust to-zone trust policy mailservers match destination-address mailservers
set security policies from-zone untrust to-zone trust policy mailservers match application junos-smtp
set security policies from-zone untrust to-zone trust policy mailservers match application junos-https
set security policies from-zone untrust to-zone trust policy mailservers match application junos-http
set security policies from-zone untrust to-zone trust policy mailservers match application junos-icmp-all
set security policies from-zone untrust to-zone trust policy mailservers match application junos-imap
set security policies from-zone untrust to-zone trust policy mailservers match application junos-imaps
set security policies from-zone untrust to-zone trust policy mailservers match application junos-pop3
set security policies from-zone untrust to-zone trust policy mailservers then permit

Algumas coisas que deixei de fora: configurar entradas do catálogo de endereços para as zonas e etc ... mas resumindo:

1) definir interface externa 2) conjunto proxy arp 3) definir NATs estáticos (ou qualquer nat que você precisar) 4) configurar a política de segurança para permitir o tráfego.

    
por 27.01.2011 / 15:01
0

Sim, é. Apenas deixe os servidores estarem em um dmz, com o endereço do gateway em sua interface, e ofc, você deve criar políticas de permissão e assim por diante.

ex. servidor 1 tem ip 1.1.1.2/24 com o gateway 1.1.1.1 servidor 2 tem ip 1.1.1.3/24 com gateway 1.1.1.1

o IP da interface SRX é 1.1.1.1.

Boa sorte.

    
por 27.01.2011 / 07:12
0

Parece que você quer o modo transparente. Atualmente é suportado apenas no SRX1400-SRX5800 topo de gama.

Existem rumores que pode estar chegando em breve ao SRX low-end.

    
por 27.01.2011 / 15:33