Как исключить трафик с NAT на Junx SRX - манекены

После того, как вы настроили службы SRX NAT, используя либо выходной интерфейс или метод пула, вы можете создать правило для исключения определенного трафика из процесса NAT. Эта конфигурация может быть выполнена для того, чтобы определенные серверы (например, общедоступный веб-сайт или FTP-сайт) имели общедоступные IP-адреса в другом частном адресном пространстве локальной сети, но выбор действительно зависит от сетевого администратора.

Естественно, вам нужно новое правило. Это относится к 192. 168. 2. 2 и называется NO_translate:

[edit security nat source rule-set internet-nat] root # установить правило NO_translate

Теперь вам нужно правило соответствия и действие для нового правила, чтобы вы могли отключить NAT для 192 168. 2. 2, как показано здесь:

[edit security nat source rule-set internet-nat rule NO_translate] root # set match source-address 192. 168. 2. 2/32 root # set then source- nat off

Может показаться, что все готово, но это не так.

Если вы выполняете эту конфигурацию, SRX продолжает переводить 192. 168. 2. 2, хотя правило правильное и SRX не должен его переводить.

Вот что произошло: порядок правил устанавливается порядком, в котором они настроены в CLI. Правило NO_translate было добавлено после того, как вы настроили правило доступа к админам, поэтому правило NO_translate было просто добавлено после существующего правила доступа к админам. К сожалению, поскольку админы-доступ соответствует всему локальному адресу (192. 168. 2. 0/24), для правила NO-translate не осталось трафика!

Это общая проблема политики с Junos и достаточно проста для исправления. Один оператор ставит правило в правильном порядке:

[edit security nat source rule-set internet-nat] root # вставить правило NO_translate перед тем, как использовать правила admins-access

Всегда убедитесь, что ваши настроенные правила находятся в надлежащий порядок для достижения желаемых результатов. По мере роста числа правил вероятность ошибки растет еще быстрее.