Netscreen の NAT-D 設定注意点
2009年 07月 24日
Netscreen(SSG) で Interface IP と同じセグメント IP で Destination NAT するときは注意が必要。
例として、こんな設定したとする。
-------------------------------------------------
//Zone 設定
set interface ethernet0/0 zone Untrust
set interface ethernet0/1 zone Trust
//Interface 設定
set interface ethernet0/0 ip 10.0.0.1/24
set interface ethernet0/0 route
set interface ethernet0/1 ip 192.168.0.1/24
est interface ethernet0/1 route
//Address 設定 ※ネットワーク的に Untrust だけど Trust で定義する
set address Trust 10.0.0.100/32 10.0.0.100 255.255.255.255
//Policy 設定
set policy id 1 from Untrust to Trust Any 10.0.0.100/32 ANY nat dst ip 192.168.0.100 permit log
//Dstination NAT 用 Routing 設定 ※Trust 側と教えないと Policy Lookup しないので
set route 192.168.0.100/32 interface ethernet0/1
-------------------------------------------------
でも、これだけでは不十分。
Netscreen が Proxy Arp 返さないので以下を設定しておく。
1. Static Arp を書く
or
2. set arp nat-dst (Screen OS 5.4 以降でサポート)を書く
or
3. DIP を書く
Juniper のナレッジを参考
KB10174
例として、こんな設定したとする。
-------------------------------------------------
//Zone 設定
set interface ethernet0/0 zone Untrust
set interface ethernet0/1 zone Trust
//Interface 設定
set interface ethernet0/0 ip 10.0.0.1/24
set interface ethernet0/0 route
set interface ethernet0/1 ip 192.168.0.1/24
est interface ethernet0/1 route
//Address 設定 ※ネットワーク的に Untrust だけど Trust で定義する
set address Trust 10.0.0.100/32 10.0.0.100 255.255.255.255
//Policy 設定
set policy id 1 from Untrust to Trust Any 10.0.0.100/32 ANY nat dst ip 192.168.0.100 permit log
//Dstination NAT 用 Routing 設定 ※Trust 側と教えないと Policy Lookup しないので
set route 192.168.0.100/32 interface ethernet0/1
-------------------------------------------------
でも、これだけでは不十分。
Netscreen が Proxy Arp 返さないので以下を設定しておく。
1. Static Arp を書く
or
2. set arp nat-dst (Screen OS 5.4 以降でサポート)を書く
or
3. DIP を書く
Juniper のナレッジを参考
KB10174
by 68246
| 2009-07-24 12:30
| Network