1, juniper防火墙MVP
MIP是“一对一”的双向地址翻译(转)换过程。通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在网上出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
web下配置MIP:
1)登陆防火墙,将防火墙部署为三层模式(NAT或路由模式)
2)定义MIP::网络=祝辞界面=祝辞ethernet2=祝辞MIP,配置实现MIP的地址映射. map IP:公网IP地址,主机IP:内网服务器IP地址
3)定义策略:在政策中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
命令行方式配置MIP:
1)配置接口参数
设置界面ethernet1区信任
设置界面ethernet1 IP 10.1.1.1/24
设置界面ethernet1 NAT
设置界面ethernet2区untrust
设置界面ethernet2 IP 1.1.1.1/24
2)定义MIP
设置界面ethernet2 MIP 1.1.1.5主机10.1.1.5子网掩码255.255.255.255 vrouter
trust-vr
3)定义策略
制定政策untrust信任任何MIP (1.1.1.5) http允许
2, juniper防火墙VIP配置
MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系,而贵宾是一个公网IP地址的不同端口(协议端口如:21日25110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
使用网页浏览器方式配置贵宾:
1)登录防火墙,配置防火墙为三层部署模式
2)添加贵宾:网络=祝辞界面=祝辞ethernet2=祝辞VIP
如有多个公网地址可以点击虚拟IP地址192.168.1.1加添加贵宾公网地址,然后点击新的贵宾服务配置映射关系
虚拟IP:指定公网IP地址
虚拟端口:指定的是公网访问端口,如果指定的是自定义端口如6899年,则在策略中需要允许该端口访问
映射到服务:指定的是内网端口,可以选择自己定义的,策略中也需要放行
映射到IP:指定内网地址
服务器自动检测:为服务器自动检查,一般不需要开启
3)添加与该贵宾公网地址相关的访问控制策略。
行动选择允许点击好完成配置。
使用命令行方式配置贵宾:
1)配置接口参数
设置界面ethernet1区信任
设置界面ethernet1 ip 10.1.1.1/24
设置界面ethernet1 nat
设置界面ethernet3区untrust
设置界面ethernet3 ip 1.1.1.1/24
2)定义VIP
设置界面ethernet3 VIP 1.1.1.10 80 http 10.1.1.10
3)定义策略
制定政策untrust信任任何贵宾(1.1.1.10)http允许
3,至于为什么要写这篇博客
主要是今天内网一台服务器需要映射到公网进行测试,在映射完80和8080两个端口后,发现互联网网中的客户端都可以访问页面,后来发现手机端在4 g网络中,不能访问,经过一段时间排查,发现是电信运营商将4 g网络中80和8080的端口给封了,需要进行备案才能开发该端口,后来没办法了,想想先只是测试而已,就改端口吧。计划将80端口映射到外网88端口,8080年内网端口映射到外网8099端口,配置好策略后,telnet端口不通呢?排查了老半天,发现还是配置有问题,经过多方折腾终于找到问题原因:如果需要将内网的80端口映射到外网88端口,首先需要在政策比;策略元素比;服务比;88年定制下新建端口,然后在VIP配置中外网端口改为88(虚拟端口:88),内网端口选择http(80)即可,最后一步很重要,在政策策略中修改服务(服务)点击多,将创自己创建好88年的好端口加进来,点击确定,大功告成! 8080端口添加原理一样,只是8080端口juniper防火墙没有默认配置,需要自己创建8080年内网端口号和外网指定端口号,然后将两个端口都添加到策略服务中即可,算是个小坑吧,希望对后方同志遇到同样的问题有所帮助!
