Seu DNAT parece bem, mas você também não criou uma política de firewall para permitir o tráfego. Você deve editar o catálogo de endereços da zona de confiança e adicionar entradas para os hosts no interior e, em seguida, criar uma confiança de zona a não confiável de acordo com a zona que corresponda a esses destinos e aos aplicativos. Existem aplicativos embutidos que você pode referenciar ou você pode criar, mas isso é feito em sua própria seção no topo da configuração, não na sub-rotina de segurança. Aqui está um exemplo de uma política, para chegar a este nível eu digitei "editar políticas de segurança de zona não confiável para zona de confiança". Em seguida, introduziu o abaixo.
policy exchange {
match {
source-address any;
destination-address [ exchange1 exchange2 ];
application [ junos-https junos-smtp junos-http junos-imap junos-ping junos-imaps junos-pop3 ];
}
then {
permit;
count;
}