Назад | Перейти на главную страницу

Источник NAT на Juniper SRX300

У меня возникают проблемы с настройкой Source NAT на моем брандмауэре SRX300. Межсетевой экран подключается к LC-панели оптоволоконным кабелем в порту 0/6. Я установил общедоступный IP-адрес для этого интерфейса и настроил DNS-серверы и шлюз по умолчанию. Кроме того, у меня есть DHCP-сервер, работающий на порте 0/3. SRX имеет соединение и может пинговать удаленные хосты, а подключение устройства к порту 0/3 даст ему IP-адрес из пула. Устройства на порту 3 могут пинговать SRX, но не могут получить доступ к общедоступному Интернету, и я считаю, что мне что-то не хватает в исходной конфигурации NAT.

Вот моя безопасность nat (203.0.113.192/30 заменяет мой общедоступный IP-адрес):

security {
    nat {
        source {
            pool src-nat-pool-1 {
                address {
                    203.0.113.192/30;
                }
            }
            rule-set rs1 {
                from zone trust;
                to zone untrust;
                rule r1 {
                    match {
                        source-address 0.0.0.0/0;
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            pool {
                                src-nat-pool-1;
                            }
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy trust-to-trust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
            policy internet-access {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                ge-0/0/2.0;
                ge-0/0/3.0;
                ge-0/0/4.0;
                ge-0/0/5.0;
                ge-0/0/6.0 {
                    host-inbound-traffic {
                        system-services {
                            ping;
                        }
                    }
                }
            }
        }
        security-zone untrust {
            screen untrust-screen;
        }
    }
}

И соответствующие интерфейсы настроены следующим образом:

interfaces {
    ge-0/0/3 {
        unit 0 {
            family inet {
                address 192.168.3.1/24;
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family inet {
                address 203.0.113.192/30;
            }
        }
    }
}