У меня возникают проблемы с настройкой Source NAT на моем брандмауэре SRX300. Межсетевой экран подключается к LC-панели оптоволоконным кабелем в порту 0/6. Я установил общедоступный IP-адрес для этого интерфейса и настроил DNS-серверы и шлюз по умолчанию. Кроме того, у меня есть DHCP-сервер, работающий на порте 0/3. SRX имеет соединение и может пинговать удаленные хосты, а подключение устройства к порту 0/3 даст ему IP-адрес из пула. Устройства на порту 3 могут пинговать SRX, но не могут получить доступ к общедоступному Интернету, и я считаю, что мне что-то не хватает в исходной конфигурации NAT.
Вот моя безопасность nat (203.0.113.192/30 заменяет мой общедоступный IP-адрес):
security {
nat {
source {
pool src-nat-pool-1 {
address {
203.0.113.192/30;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
}
policies {
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
ge-0/0/3.0;
ge-0/0/4.0;
ge-0/0/5.0;
ge-0/0/6.0 {
host-inbound-traffic {
system-services {
ping;
}
}
}
}
}
security-zone untrust {
screen untrust-screen;
}
}
}
И соответствующие интерфейсы настроены следующим образом:
interfaces {
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.1/24;
}
}
}
ge-0/0/6 {
unit 0 {
family inet {
address 203.0.113.192/30;
}
}
}
}