人気ブログランキング | 話題のタグを見る

てけと~なブログ


by 68246
カレンダー
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

Netscreen の NAT-D 設定注意点

Netscreen(SSG) で Interface IP と同じセグメント IP で Destination NAT するときは注意が必要。

例として、こんな設定したとする。

-------------------------------------------------
//Zone 設定
set interface ethernet0/0 zone Untrust
set interface ethernet0/1 zone Trust

//Interface 設定
set interface ethernet0/0 ip 10.0.0.1/24
set interface ethernet0/0 route
set interface ethernet0/1 ip 192.168.0.1/24
est interface ethernet0/1 route

//Address 設定 ※ネットワーク的に Untrust だけど Trust で定義する
set address Trust 10.0.0.100/32 10.0.0.100 255.255.255.255

//Policy 設定
set policy id 1 from Untrust to Trust Any 10.0.0.100/32 ANY nat dst ip 192.168.0.100 permit log

//Dstination NAT 用 Routing 設定 ※Trust 側と教えないと Policy Lookup しないので
set route 192.168.0.100/32 interface ethernet0/1
-------------------------------------------------


でも、これだけでは不十分。
Netscreen が Proxy Arp 返さないので以下を設定しておく。

1. Static Arp を書く
or
2. set arp nat-dst (Screen OS 5.4 以降でサポート)を書く
or
3. DIP を書く

Juniper のナレッジを参考
KB10174
by 68246 | 2009-07-24 12:30 | Network