Juniper srx 550建立NAT端口映射

一、Juniper srx 550建立NAT端口映射

公司Juniper srx 550路由器，因为很少去设置，所以怕到时设置时步骤又给忘记了，这里做个备注，以便日后查

NAT配置界面介绍：

Rule Name：对该NAT的命名（不影响配置）；

Source Address：对源地址的限制（可以不填，若要限制可以在Policy处设置）。

Deatination Address & Port：外网地址，对应的外网地址端口。

Actions：设置NAT的行为；

二、配置方式

1、配置NAT

①、配置NAT内部终端映射端口。

选择NAT-----Deastination NAT-----Deastination NAT Pool-----add

设置Pool的名字，以及内部终端IP，需要放出去的端口。

返回Destination Rule Set，配置NAT映射。

在r1规则中建立NAT映射，选择右下角的Add

①输入Rule Name（不影响配置）；

②对应的外网地址，已经映射的外网端口。

③在右方选择Do Destination NAT With Pool，并选择之前建立的Deastination NAT Pool

这里注意下，有可能在保存的时候要求填source address，可先将0.0.0.0 :32 添加进去，保存成功后在删除

二、以上为止NAT已经配好，但是还需要配置Policy,才能让外面的终端访问成功。

①、添加地址本，路径选择Security----Policy Elements----Address Book------点击右上角的Add

分别填写，内网终端的相关信息，所在的防火墙Zone，地址名称（不影响配置），内网终端的IP地址。

②、添加服务端口

路径选择：Security----Policy Elements----Applications------点击右上角的Add

填写服务名称（不影响设置），使用协议，已经对应的端口。

③、设置Policy

路径选择：Security----Policy-----Apply Policy，选好Policy的应用区域（Unrust to DMZ），选择Add；

这里也要注意下，将from zore和to zore选下，有可能默认的没有显示出来，导致忘记加内网到外网的策略，导致“telent 外网地址 端口” 不通

填写Policy名称（不影响配置）；

选择Policy Action（permit允许，deny阻止，reject）；

选择 应用的区域，一般是untrust to DNZ

选择 哪些外部地址受Policy影响（Source Address）,一般选择Any，意思是全部地址都所这条Policy影响。

选择 内部主机（Destination Address），此步需要设置好之前的Address Book，并选择该名称的Address Book。

选择 对应的服务（Applications），此步需要设置好之前的Applications。但是这里值得注意的是他是根据内部主机提供的服务来设定的，例如 内部主机A的22端口映射成外网的1880端口，那样这里选的还是22端口，而不是1880端口。（下面这个图是截取网上的，哈哈，我没有打开路由器设备，偷个懒）

三、配置完成后需要commit(必须的，负责设置不起作用)。

这个是Juniper 特有的功能之一，目的是避免出现误配置后导致系统无法正常运作。

Configred shared

Commit confirm 10（试运行10分钟，自动回滚）