一、基础操作说明:

1、  设备恢复出厂化

root# load factory-default

root# set system root-authentication plain-text-password

root# commit

root> request system reboot

2、  基本配置

2.1 配置主机名

root# set system host-name SRX1400

2.2设置时区

root@SRX1400# set system time-zone Asia/Shanghai

2.3设置时间

root@SRX1400# run set date 201508011549.21

2.4设置dns

root@SRX1400# set system name-server 202.l06.0.20

2.5设置接口IP

root@SRX1400# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24

2.6设置默认路由

root@SRX1400# set routing-options static route 0.0.0.0/0  next-hop 10.0.0.254

2.7创建登陆用户

root@SRX1400# set system login user admin class super-user authentication plain-text-password

2.8创建安全Zone

root@SRX1400# set security zones security-zone untrust

2.9接口加入zone

root@SRX1400# set security zones security-zone untrust interfaces  ge-0/0/0.0

2.10业务口放行icmp

root@SRX1400# set security zones security-zone untrust interfaces  ge-0/0/0.0  host-inbound-traffic system-services ping

说明:默认情况下,除管理口外的业务口是无法ping通的,需要放行icmp。

二、juniper srx nat

1、NAT的类型

1.1 source nat :interface

1.2 source nat :pool

1.3 destination nat

1.4 static nat

2、配置实例

2.1 基于接口的source nat

root@SRX1400# set security nat source rule-set 1 from zone trust

root@SRX1400# set security nat source rule-set 1 to zone untrust

root@SRX1400# set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

root@SRX1400# set security nat source rule-set 1 rule rule1 then source-nat interface

默认police

policy default-permit {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

2.2基于地址池的source nat

root@SRX1400# set security nat source pool isp address 10.0.0.20 to 10.0.30

root@SRX1400# set security nat source rule-set 1 from zone trust

root@SRX1400# set security nat source rule-set 1 to zone untrust

root@SRX1400# set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

root@SRX1400# set security nat source rule-set 1 rule rule1 then source-nat pool isp

root@SRX1400# set security nat proxy-arp interface ge-0/0/0 address 10.0.0.20 to 10.0.0.30

2.3 destination nat 配置

root@SRX1400# set security nat destination pool dst-nat-pool-1 address 172.16.1.1/32

root@SRX1400# set security nat destination pool dst-nat-pool-1 address port 80

root@SRX1400# set security nat destination rule-set rs1 from zone untrust

root@SRX1400# set security nat destination rule-set rs1 rule 1 match destination-address 10.0.0.100/32

root@SRX1400# set security nat destination pool dst-nat-pool-1 address port 80

root@SRX1400# set security nat proxy-arp interface ge-0/0/0.0 address 10.0.0.100/32

root@SRX1400# set security address-book global address web 172.16.1.1/32

root@SRX1400# set security nat destination rule-set rs1 rule 1 then destination-nat pool dst-nat-pool-1

root@SRX1400# set security policies from-zone untrust to-zone trust policy web match source-address any

root@SRX1400# set security policies from-zone untrust to-zone trust policy web match destination-address web  match application any

root@SRX1400# set security policies from-zone untrust to-zone trust policy

root@SRX1400# set security policies from-zone untrust to-zone trust policy web then permit

root@SRX1400# insert security policies from-zone untrust to-zone trust policy web before policy default-deny

2.4 static nat配置

root@SRX1400# set security nat static rule-set rs1 from zone untrust

root@SRX1400# set security nat static rule-set rs1 rule r1 match destination-address 10.0.0.100/32

root@SRX1400# set security nat static rule-set rs1 rule r1 then static-nat prefix 172.16.1.1/32

root@SRX1400# set security nat proxy-arp interface ge-0/0/0.0 address 10.0.0.100/32

root@SRX1400# set security address-book global address web 172.16.1.1/32

root@SRX1400# set security policies from-zone untrust to-zone untrust web match source-address any destination-address web application any

root@SRX1400# set security policies from-zone untrust to-zone trust policy web then permit

root@SRX1400# insert security policies from-zone untrust to-zone trust web before policy default-deny

Juniper srx防火墙NAT配置的更多相关文章

  1. Juniper SRX防火墙简明配置手册(转)

    在执行mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行mit后配置模式下可通过run show config命令查看当前有效配置(Active co ...

  2. Juniper SRX防火墙-NAT学习笔记!

    Junos NAT第一部分:SRX NAT介绍第二部分:Source NAT:Interface NAT第三部分:Source NAT:Address Pools第四部分:Destination NA ...

  3. Juniper srx新增接口IP,使PC直连srx(转)

    转自:https://www.jianshu.com/p/bc27134bde3d Juniper srx新增接口IP,使PC直连srx 2018.11.19 14:24:15字数 424 概述 需求 ...

  4. Juniper srx 550建立NAT端口映射

    一.Juniper srx 550建立NAT端口映射 公司Juniper srx 550路由器,因为很少去设置,所以怕到时设置时步骤又给忘记了,这里做个备注,以便日后查 NAT配置界面介绍: Rule ...

  5. centos LB负载均衡集群 三种模式区别 LVS/NAT 配置 LVS/DR 配置 LVS/DR + keepalived配置 nginx ip_hash 实现长连接 LVS是四层LB 注意down掉网卡的方法 nginx效率没有LVS高 ipvsadm命令集 测试LVS方法 第三十三节课

    centos   LB负载均衡集群 三种模式区别 LVS/NAT 配置  LVS/DR 配置  LVS/DR + keepalived配置  nginx ip_hash 实现长连接  LVS是四层LB ...

  6. Juniper SRX 简单命令二

    --------------------------Juniper SRX 用户管理--------------------------- Juniper的命令,其实是比较形象的,英文稍微好一点,基本 ...

  7. LVS/NAT 配置

    LVS/NAT 配置 实验环境 三台主机:Linux Centos 6.4 32位 调度器Director:192.168.1.160(内网IP).192.168.2.20(公网IP) HTTP真实服 ...

  8. Juniper SRX550防火墙web页面CPU达到100%的故障解决办法

    Juniper SRX550防火墙web页面CPU达到100%的故障解决办法 利用telnet远程连接主机,对web页面注销重新登录即可,在配置中输入命令:run restart web-manage ...

  9. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

随机推荐

  1. Jquery Mobile转场特效之slide | 小小iPhone开发

    Jquery Mobile转场特效之slide | 小小iPhone开发 2012 Jquery Mobile转场特效之slide 作者:小小   发布:2012-12-12 14:03   分类:j ...

  2. 页面提交进不了Action的原因

    1.进不了action,页面没有任何js报错,可能的原因是数据类型不一致.例如用ajax方式提交所带的参数类型a是String类型,而action中定义的a是Integer类型就会导致这种情况的发生.

  3. 关于wxFileSystemWatcher输出文件名的解决方法

    本文针对的wxWidgets版本: 2.9.4, 2.9.5,其他版本未作测试. 如果要使用 wxFileSystemWatcher 并且让其产生的wxFileSystemWatcherEvent 事 ...

  4. 怎样制作一个相似Tiny Wings的游戏 Cocos2d-x 2.1.4

    在第一篇<怎样使用CCRenderTexture创建动态纹理>基础上,添加�创建动态山丘,原文<How To Create A Game Like Tiny Wings with C ...

  5. 非确定有限状态自动机的构建(一)——NFA的定义和实现

    保留版权,转载需注明出处(http://blog.csdn.net/panjunbiao). 非确定有限状态自动机(Nondeterministic Finite Automata,NFA)由以下元素 ...

  6. Servlet配置对象、上下文对象、多线程问题

    一.Servlet配置对象(ServletConfig):Servlet初始化时,容器调用其init(ServletConfig)方法,传递该对象. 1.获得对象方法: (1).直接使用getServ ...

  7. W英语: 紧急, 非紧急

    take your time 慢慢来 It is not urgent. Take it easy please. 不急,慢慢来.

  8. Appium 命令行启动配置

    Appium 安装过后,会有图形界面,同样也支持命令行参数的启动和配置 Windws: 在windows 安装配置Appium有三种方式: Node install -g appium .exe文件安 ...

  9. Linux编译多个不同目录下的文件以及静态库、动态库的使用

    先看两篇博文,作为基础知识.如果对C/C++编译链接过程都了解的话,可以跳过不看. http://www.firedragonpzy.com.cn/index.php/archives/2556 ht ...

  10. Windows 和 Linux下使用socket下载网页页面内容(可设置接收/发送超时)的代码

    主要难点在于设置recv()与send()的超时时间,具体要注意的事项,请看代码注释部分,下面是代码: #include <stdio.h> #include <sys/types. ...